「Ruby on Rails」に複数の脆弱性、対策を呼びかけ(JVN) | ScanNetSecurity
2026.02.18(水)

「Ruby on Rails」に複数の脆弱性、対策を呼びかけ(JVN)

IPAおよびJPCERT/CCは、「Ruby on Rails」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
32 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月9日、「Ruby on Rails」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは「Ruby on Rails 3.2.11 より前の 3.2 系」「Ruby on Rails 3.1.10 より前の 3.1 系」「Ruby on Rails 3.0.19 より前の 3.0 系」「Ruby on Rails 2.3.15 より前の 2.3 系」。

上記Ruby on RailsのAction Packには、パラメータ解析処理に複数の脆弱性(CVE-2013-0156)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されるなどの影響を受ける可能性がある。JVNでは、最新版へのアップデートや対応するパッチの適用を呼びかけている。なお、「XMLの解析処理を無効にする」「XMLの解析処理において、YAMLおよびSymbolのサポートを無効にする」「YAMLの解析処理を無効にする」といったことで、本脆弱性の影響を軽減することが可能としている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学

    「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学PR

  2. 懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

    懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

  3. VPN 機器のログから不正アクセスの痕跡 ~ 関西総合システムにランサムウェア攻撃

    VPN 機器のログから不正アクセスの痕跡 ~ 関西総合システムにランサムウェア攻撃

  4. IPA「セキュリティ要件適合評価及びラベリング制度 (JC-STAR) 通信機器 ★3セキュリティ要件」公開

    IPA「セキュリティ要件適合評価及びラベリング制度 (JC-STAR) 通信機器 ★3セキュリティ要件」公開

  5. メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

    メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP