「Ruby on Rails」に極めて深刻な脆弱性、直ちにアップデートを

脆弱性は認証システムの迂回、任意のSQL挿入、任意のコード挿入と実行、Railsアプリケーションに対するサービス妨害（DoS）攻撃などに利用される恐れがある。

[鈴木聖子，ITmedia]

　オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」のセキュリティアップデートが公開され、極めて深刻な脆弱性が修正された。全ユーザーに対し、直ちにアップデートまたは回避策を適用するよう呼びかけている。

　Ruby on Railsや米セキュリティ機関US-CERTが1月8日に公開したセキュリティ情報によると、Ruby on Railsのパラメータ解析コードに複数の脆弱性が存在する。認証システムの迂回、任意のSQL挿入、任意のコード挿入と実行、Railsアプリケーションに対するサービス妨害（DoS）攻撃などに利用される恐れがある。

　この脆弱性はRuby on Railsの全バージョンが影響を受け、危険度は共通指標CVSSのベーススコアで最も高い「10.0」と評価されている。

　脆弱性を修正するため、バージョン3.2.11、3.1.10、3.0.19および2.3.15がリリースされた。アドバイザリーでは脆弱性の深刻さと、脆弱性情報の一部が公になっていたことを指摘して、直ちにアップデートを適用するよう勧告。バージョンごとに回避策も紹介している。