Rubyに2種類の脆弱性、セーフレベルが機能しない恐れ

[ITmedia]

　7月11日、オープンソースのオブジェクト指向スクリプト言語「Ruby」に2種類の脆弱性が存在することが明らかにされた。修正パッチを加えた最新版のスナップショットが公開されている。

　Rubyは、スレッドごとにプログラムの動作を制限する「セーフレベル」というセキュリティモデルを備えている。このうち最も制限が厳しいのが、信用することのできないプログラムを実行する「セーフレベル4」で、オブジェクト自身の内容を変更するような破壊的メソッドは実行されない。

　しかし、Ruby 1.8.4-20060328以前のスナップショットで、特定のメソッドに関してセーフレベル4から呼び出すどうかの判断の部分と、エイリアス機能におけるセーフレベルの取り扱いに脆弱性が発見された。

　これにより、セーフレベルに基づくセキュリティ機構が機能せず、本来ならばセーフレベル4から呼び出すことができない破壊的メソッドなどを呼び出せてしまう可能性がある。悪用されれば、汚染されていないオブジェクトの状態を意図せず変更されたり、Rubyプログラムが終了に追い込まれる恐れがあるという。

　開発元では、修正パッチを加えた最新のスナップショットを公開。IPAとJPCERT/CCが運営する脆弱性情報公開サイト、JVN（JP Vendor Status Notes）では、最新版スナップショットの利用を推奨している。