Posted by usa on 29 Aug 2017

Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。 RubyGems の公式ブログにて報告されています。

詳細

以下の脆弱性が報告されています。

• a DNS request hijacking vulnerability
• an ANSI escape sequence vulnerability
• a DOS vulernerability in the query command
• a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files

Ruby ユーザには、以下に示すいずれかの対策を速やかに行うことを強く推奨します。

影響を受けるバージョン

• Ruby 2.2.7 以前の全ての Ruby 2.2 系列
• Ruby 2.3.4 以前の全ての Ruby 2.3 系列
• Ruby 2.4.1 以前の全ての Ruby 2.4 系列
• revision 59672 より前の開発版

回避策

現時点では、本件に対応した Ruby はリリースされていませんが、以下のコマンドを実行することにより、RubyGems を最新版(2.6.13 以降)に更新することによって、各脆弱性が修正されます。

gem update --system

もし何らかの事情で RubyGems 全体を更新できない場合は、脆弱性対応のみを行うパッチが公開されています。 各バージョン用に用意されていますので、以下より入手・適用してください。

• Ruby 2.2.7 用
• Ruby 2.3.4 用
• Ruby 2.4.1 用: 両方のパッチを順次適用してください。
  1. RubyGems 2.6.11 から 2.6.12 へのパッチ
  2. RubyGems 2.6.12 から 2.6.13 へのパッチ

開発版については、最新のリビジョンに更新してください。

クレジット

この脆弱性情報は、RubyGems 公式ブログに基づいています。

更新履歴

• 2017-08-29 21:00:00 (JST) 初版

Syndicate

最近のニュース (RSS)