RailsにDoS脆弱性、XMLパースする全ユーザに対応推奨

    後藤大地  [2008/08/27]
    印刷

    Ruby on Rails

    問題を引き起こせるXMLファイルの例 - Rubyサイトより抜粋

    The ruby-security teamは23日、Ruby on Railsに脆弱性の問題があることを発表した。Railsで使われているXMLパースライブラリREXMLにDoS脆弱性があり、XMLエンティティエクスプロージョン攻撃を実施されると同ライブラリを使ったRailsアプリケーションをダウンさせることが可能になる。

    影響を受けるRubyのバージョンは次のとおり。

    • 1.9系すべてのバージョン
    • 1.8.7-p72およびそれ以前のすべてのバージョン
    • 1.8.6-p287およびそれ以前のすべてのバージョン

    Rubyでこの脆弱性に対処するには、rexml-expansion-fix.rbファイルをダウンロードしてデプロイし、REXMLを使うより前の段階で次のように同ファイルを読み込むようにすればいい。

    REXMLを使う前に対処を読み込む

    この脆弱性に対する修正は将来リリースされるRubyやまたはパッチセットで対応されるとみられる。Railsアプリケーションを使っている場合は、rexml-expansion-fix.rbファイルをRAILS_ROOT/lib/などのロードパスにデプロイしてからconfig/environment.rbファイルに「require "rexml-expansion-fix"」と記入することで対処できる。Rails 2.1以降のバージョンを使っている場合にはrexml-expansion-fix.rbファイルをRAILS_ROOT/config/initializersにコピーするだけでいい。同ファイルが自動的に読み込まれるようになる。

    関連記事

    スレッドセーフRuby on Railsが意味することは、Rails 2.2でスレッドセーフ [2008/8/18]
    1,600超えるパッチ集大成、Ruby on Rails 2.1登場 [2008/6/4]
    Rails、SubversionからGitへ - zipファイルでもOK [2008/4/15]
    Ruby on Rails 2.0.2登場 - デフォルトDBがMySQLからSQLite3へ [2007/12/18]
    待望のRails 2.0登場 - 多くの機能追加と改善、パフォーマンス向上 [2007/12/10]
    Rails最終準備リリース公開、12月中にはRails 2.0の登場へ [2007/11/30]
    Rails、セキュリティ修正版公開 - 2.0への準備も兼ね、アップグレード推奨 [2007/11/26]
    Rails 2.0へ向けた準備リリースはじまる - 早ければ数週間後にもリリース [2007/11/12]
    Ruby on Rails 1.2.5公開 - JSON XSS脆弱性を修正、迅速なアップグレードを [2007/10/15]
    Rails 1.2.4登場 - 2.0での対応予定者も本バージョンで警告チェックを [2007/10/9]
    Patrick Lenz氏のRails本PDFが60日間無償ダウンロード [2007/10/3]
    Rails 2.0向けアダプタ登場 - Oracle、SQL Serverもサポート [2007/10/3]
    次期Railsの開発プレビュー版"Ruby on Rails 2.0: Preview Release"登場 [2007/10/2]
    ドリコム、Ruby on Railsのコンテストを開催 - 賞金100万円 [2007/7/2]
    Rails 1.2と1.1、速いのはどっち? - Railsbenchによる性能レポートを公開 [2007/4/3]
    Ruby/Rails最新版 - Ruby on Rails 1.2.3、Ruby 1.8.6公開 [2007/3/15]
    Rails 1.2.1/1.2.0-REST志向の機能マルチバイトも、Leopard搭載も予定通り [2007/1/22]
    Ruby on Railsセキュリティフィックス、全ユーザにアップグレードを推奨 [2006/8/10]
    Rails on OS X !? - Ruby on Rails、Mac OS X Leopardに搭載へ [2006/8/9]
    祝2歳!! Ruby on Rails 1.1 + MySQL Administratorで日記システムを作ろう [2006/7/29]
    おめでとうRuby on Rails、満2歳の誕生日むかえる [2006/7/27]
    Ruby on Railsセキュリティフィックス"やり直し"-ユーザはアップグレードを [2006/7/4]
    Ruby on Railsセキュリティフィックス、全ユーザにアップグレードを推奨 [2006/6/28]
    Ruby on Railsまたも進化、1.1 公開 [2006/3/29]
    ついに1.0! Ruby on Rails [2005/12/15]
    Ruby on Rails RC2 - 待望のリリース1.0まであと少し [2005/10/21]

    関連サイト

    Ruby on Rails
    関連したタグ

    【コラム】ITセキュリティのアライ出し 第32回 難読化するマルウェア - 迷惑メールとマルウェア(1)

    センドメール、仮想アプライアンス「Sentrion MPV」を発表

    新着記事

    理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25]
    京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25]
    120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25]
    京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25]
    製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25]

    特設サイトの情報

      求人情報

      人気記事

      一覧

      もっと見る

      イチオシ記事

      もっと見る

      新着記事

      特別企画

      転職ノウハウ

      あなたの仕事適性診断

      4つの診断で、自分の適性を見つめなおそう!

      Heroes File ~挑戦者たち~

      働くこと・挑戦し続けることへの思いを綴ったインタビュー

      はじめての転職診断

      あなたにピッタリのアドバイスを読むことができます。

      転職Q&A

      転職に必要な情報が収集できます

      スカウト転職する

      企業からアプローチのメッセージが届きます。

      ...もっと見る

      マイナビニュースマガジン

        ページトップ