Posted by mame on 1 Oct 2019
Ruby の標準添付ライブラリである lib/shell.rb の Shell#[] および Shell#test にコード挿入脆弱性が発見されました。この脆弱性は、CVE-2019-16255 として登録されています。
詳細
lib/shell.rb で定義されている Shell#[] およびその別名 Shell#test において、第一引数(”command”引数)に信頼できないデータを与えていた場合にコード挿入が可能でした。攻撃者はこれを悪用することで任意のRubyメソッドを呼び出すことができます。
一般に、信頼できないデータをShellのメソッドに渡すことは危険なので、ユーザはそういうことをしてはなりません。今回のケースを脆弱性として扱うのは、Shell#[] と Shell#test はファイル検査目的と考えられるためです。
この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。
影響を受けるバージョン
- Ruby 2.3 以前のすべてのリリース
- Ruby 2.4.7 以前のすべての Ruby 2.4 系列
- Ruby 2.5.6 以前のすべての Ruby 2.5 系列
- Ruby 2.6.4 以前のすべての Ruby 2.6 系列
- Ruby 2.7.0-preview1
クレジット
この脆弱性情報は、ooooooo_q 氏によって報告されました。
更新履歴
- 2019-10-01 20:00:00 (JST) 初版