| Title | Ruby の safe-level 機構における文字列を変更される脆弱性 |
|---|---|
| Summary | Ruby の safe-level 機構には、文字列を変更される脆弱性が存在します。 |
| Possible impacts | 攻撃者により、Exception#to_s メソッドを介して、パス名の変更で示されるように、文字列を変更される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 2, 2011, midnight |
| Registration Date | July 14, 2011, 9:47 a.m. |
| Last Update | Oct. 24, 2013, 5:37 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| レッドハット |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 4.8 (as) |
| Red Hat Enterprise Linux 4.8 (es) |
| Red Hat Enterprise Linux 5 (server) |
| Red Hat Enterprise Linux Desktop 4.0 |
| Red Hat Enterprise Linux Desktop 5.0 (client) |
| Red Hat Enterprise Linux Desktop 6 |
| Red Hat Enterprise Linux EUS 5.6.z (server) |
| Red Hat Enterprise Linux HPC Node 6 |
| Red Hat Enterprise Linux Long Life (v. 5.6 server) |
| Red Hat Enterprise Linux Server 6 |
| Red Hat Enterprise Linux Server EUS 6.1.z |
| Red Hat Enterprise Linux Workstation 6 |
| RHEL Desktop Workstation 5 (client) |
| サイバートラスト株式会社 |
| Asianux Server 3 (x86) |
| Asianux Server 3 (x86-64) |
| Asianux Server 3.0 |
| Asianux Server 3.0 (x86-64) |
| Asianux Server 4.0 |
| Asianux Server 4.0 (x86-64) |
| Ruby-lang.org |
| Ruby 1.8 の開発バージョン (1.8.8dev) |
| Ruby 1.8.6 patchlevel 420 以前のバージョン |
| Ruby 1.8.7 patchlevel 330 以前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年07月14日] 掲載 [2011年07月28日] 影響を受けるシステム:ミラクル・リナックス (2225) の情報を追加 影響を受けるシステム:ミラクル・リナックス (ruby-1.8.5-19.1.0.1.AXS3) の情報を追加 ベンダ情報:ミラクル・リナックス (2225) を追加 ベンダ情報:ミラクル・リナックス (ruby-1.8.5-19.1.0.1.AXS3) を追加 [2011年08月03日] 影響を受けるシステム:ミラクル・リナックス (2227) の情報を追加 ベンダ情報:ミラクル・リナックス (2227) を追加 [2012年05月14日] ベンダ情報:アップル (HT5281) を追加 [2013年10月24日] ベンダ情報:オラクル (Multiple vulnerabilities in Ruby) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The safe-level feature in Ruby 1.8.6 through 1.8.6-420, 1.8.7 through 1.8.7-330, and 1.8.8dev allows context-dependent attackers to modify strings via the Exception#to_s method, as demonstrated by changing an intended pathname. |
|---|---|
| Publication Date | March 3, 2011, 5 a.m. |
| Registration Date | Jan. 28, 2021, 4:38 p.m. |
| Last Update | Nov. 21, 2024, 10:25 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:ruby-lang:ruby:1.8.6-420:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ruby-lang:ruby:1.8.7-330:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ruby-lang:ruby:1.8.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ruby-lang:ruby:1.8.8:dev:*:*:*:*:*:* | |||||
| cpe:2.3:a:ruby-lang:ruby:1.8.6:*:*:*:*:*:*:* | |||||