製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性

Title	Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性
Summary	Ruby のハッシュ関数の実装には、サービス運用妨害 (DoS) の脆弱性が存在します。 Ruby のハッシュ関数の実装には、同一のハッシュ値となる複数の異なる文字列を容易に作成可能な問題が存在します。結果として、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 産業技術総合研究所情報技術研究部門田中哲氏
Possible impacts	Ruby で実装されたアプリケーションが細工された入力を大量に処理することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。
Publication Date	July 6, 2012, midnight
Registration Date	July 6, 2012, noon
Last Update	July 6, 2012, noon

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:P

Affected System

Ruby-lang.org

Ruby 1.8.7-p357 より前のバージョン

Ruby 1.9.1 より前の 1.9 系

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4815	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4815
National Vulnerability Database (NVD)
2	CVE-2011-4815	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4815
SECURITY BLOG
3	CVE-2011-4815 Denial of Service (DoS) vulnerability in Ruby	https://blogs.oracle.com/sunsecurity/entry/cve_2011_4815_denial_of

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT5281	http://support.apple.com/kb/HT5281
Ruby
2	Denial of service attack was found for Ruby's Hash algorithm (CVE-2011-4815)	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/

その他

No	Name	URL
IPA 緊急対策情報
1	20120106-web	http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html
JVN
2	JVN#90615481	http://jvn.jp/jp/JVN90615481/index.html
3	JVNVU#692779	http://jvn.jp/cert/JVNVU692779/
4	JVNVU#903934	https://jvn.jp/cert/JVNVU903934/
US-CERT Vulnerability Note
5	VU#903934	http://www.kb.cert.org/vuls/id/903934

Change Log

No	Changed Details	Date of change
0	[2012年07月06日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-4815

Summary	Ruby (aka CRuby) before 1.8.7-p357 computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
Publication Date	Dec. 30, 2011, 10:55 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:33 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:ruby-lang:ruby:1.8.7-p334:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p330:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p302:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p299:::::::*
cpe:2.3:a:ruby-lang:ruby::::::::		1.8.7-p352

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
2	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606
3	http://jvn.jp/en/jp/JVN90615481/index.html
4	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
5	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
6	http://rhn.redhat.com/errata/RHSA-2012-0069.html
7	http://rhn.redhat.com/errata/RHSA-2012-0070.html
8	http://secunia.com/advisories/47405
9	http://secunia.com/advisories/47822
10	http://support.apple.com/kb/HT5281
11	http://www.kb.cert.org/vuls/id/903934	US Government Resource
12	http://www.nruns.com/_downloads/advisory28122011.pdf
13	http://www.ocert.org/advisories/ocert-2011-003.html
14	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
15	http://www.securitytracker.com/id?1026474
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
17	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
19	http://www.securitytracker.com/id?1026474
20	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
21	http://www.ocert.org/advisories/ocert-2011-003.html
22	http://www.nruns.com/_downloads/advisory28122011.pdf
23	http://www.kb.cert.org/vuls/id/903934	US Government Resource
24	http://support.apple.com/kb/HT5281
25	http://secunia.com/advisories/47822
26	http://secunia.com/advisories/47405
27	http://rhn.redhat.com/errata/RHSA-2012-0070.html
28	http://rhn.redhat.com/errata/RHSA-2012-0069.html
29	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
30	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
31	http://jvn.jp/en/jp/JVN90615481/index.html
32	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html