Ruby on RailsにSQLインジェクションの脆弱性、直ちに更新を

悪用された場合、細工を施した値を使って任意のSQLを挿入される恐れがある。

» 2014年07月07日 07時00分 公開
[鈴木聖子,ITmedia]

 オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」に2件のSQLインジェクションの脆弱性が見つかり、修正のための更新版が7月2日にリリースされた。

 Ruby on Railsのサイトに掲載された情報によると、脆弱性はActive Record用のPostgreSQLアダプタに存在し、ビット列型、または範囲型を使っているアプリケーションが影響を受ける。

 ビット列型の脆弱性はバージョン2.0.0〜3.2.18に、範囲型の脆弱性はバージョン4.0.0〜4.1.2にそれぞれ存在する。悪用された場合、細工を施した値を使って任意のSQLを挿入される恐れがある。

 これら脆弱性は、更新版の3.2.19、4.0.7、4.1.3で修正された。直後にリグレッション問題に対応するための4.0.8と4.1.4がリリースされている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ