Ruby on Rails の Action Pack のパラメータ解析に起因する任意コード実行の脆弱性（Scan Tech Report）

1.概要
Ruby on Rails には、Action Pack のパラメータ解析処理に起因する任意コード実行の脆弱性が存在します。
リモートの第三者に利用されると、Ruby on Rails が設置された Web サーバ上で、任意の Ruby コードが実行される可能性があります。この脆弱性を悪用しようとした攻撃が国内で観測されたという情報もあることから、影響を受けるバージョンの Ruby on Rails を利用する環境では、可能な限り以下に記載する対策の実施を推奨します。

2.深刻度(CVSS)
7.5
http://nvd.nist.gov/cvss.cfm?name=&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)&version=2

3.影響を受けるソフトウェア ※
Rails 3.2.11 より前の 3.2 系
Rails 3.1.10 より前の 3.1 系
Rails 3.0.19 より前の 3.0 系
Rails 2.3.15 より前の 2.3 系

4.解説
Ruby on Rails はウェブアプリケーションフレームワークです。この Ruby on Rails において MVC(Model View Controller) の View および Controller の役割を担う、Action Pack のパラメータ解析処理に起因する脆弱性が存在します。

Ruby on Rails は、Action Pack のパラメータ解析により、文字列を特定のデータ型に自動的にキャストします。しかし、YAML 解析やシンボル生成を含むデータのキャスト処理に不備があるため、細工したリクエストを送信することで、Ruby on Rails が設置された Web サーバ上において任意の Ruby コードが実行される可能性があります。

なお、Action Pack のパラメータ解析処理に起因する脆弱性により、任意コード実行以外に、認証回避や SQL インジェクションの被害が発生する可能性があります。これらの脆弱性には CVE-2013-0156 が割り当てられています(*1)。

実際、この脆弱性を悪用しようとした攻撃が国内で観測されたという情報があります(*2)。危険性の高い脆弱性ですので、可能な限り対策の実施を推奨します。

(*1): https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
(*2): https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/cve-2013-0156?lang=ja

5.対策
下記の Web サイトから必要なソフトウェアを入手し、対策済みの Ruby on
Rails にアップデートすることで、この脆弱性を解消することが可能です。

Ruby on Rails: Download
http://rubyonrails.org/download

また、回避策を適用することで、本脆弱性の影響を低減することが可能です。
・XML の解析処理を無効にする
・XML の解析処理において YAML およびシンボルのサポートを無効にする
・YAML の解析処理を無効にする

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー脅威分析センター）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html