Ruby on Railsに新たな脆弱性、アップデートやパッチの適用を

1月に発覚したものとは異なる脆弱性の存在が報告された。

[ITmedia]

　情報処理推進機構とJPCERT コーディネーションセンターは1月29日、オープンソースのアプリケーション開発フレームワーク「Ruby on Rails」に脆弱性が見つかったとして、脆弱性情報サイト「JVN」に情報を公開した。

　それによると、見つかった脆弱性はJavaScript Object Notation（JSON)の解析処理に存在するもので、Ruby on Rails 3.0.20より前の3.0系と、Ruby on Rails 2.3.16より前の2.3系が影響を受ける。脆弱性を悪用された場合、認証回避や任意のコード実行、サービス妨害（DoS）などにつながる恐れがある。

　既にこの脆弱性を解決したRuby on Rails 3.0.20と同2.3.16、修正パッチがリリースされている。また、これらをすぐに適用できない場合の影響軽減策としてJSONGemの利用を推奨している。

　なお、今回見つかった脆弱性は1月に報告されたものとは異なるとしている。