製品・ソフトウェアに関する情報
Vulnerability Search
Ruby における safe-level の制限を回避される脆弱性
Title Ruby における safe-level の制限を回避される脆弱性
Summary

Ruby には、safe-level の制限を回避される、および汚染されていない文字列 (untainted strings) に変更される脆弱性が存在します。 本脆弱性は、CVE-2011-1005 とは異なる脆弱性です。

Possible impacts 攻撃者により、文字列を汚染されたものとしてマークする name_err_mesg_to_str API 関数を介して、safe-level の制限を回避される、および汚染されていない文字列 (untainted strings) に変更される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Oct. 3, 2012, midnight
Registration Date April 30, 2013, 5:29 p.m.
Last Update April 30, 2013, 5:29 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:N/I:P/A:N
Affected System
Ruby-lang.org
Ruby パッチレベル 286 未満の 1.9.3
Ruby パッチレベル 371 未満の 1.8.7
Ruby リビジョン r37068 未満の 2.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2013年04月30日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2012-4466
Summary

Ruby 1.8.7 before patchlevel 371, 1.9.3 before patchlevel 286, and 2.0 before revision r37068 allows context-dependent attackers to bypass safe-level restrictions and modify untainted strings via the name_err_mesg_to_str API function, which marks the string as tainted, a different vulnerability than CVE-2011-1005.

Publication Date April 26, 2013, 8:55 a.m.
Registration Date Jan. 28, 2021, 3:03 p.m.
Last Update Nov. 21, 2024, 10:42 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ruby-lang:ruby:1.8.7:p370:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p330:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p334:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p248:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:preview3:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p17:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p299:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p357:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p71:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p22:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:preview1:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p352:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p301:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p358:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p160:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:preview2:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p174:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:p0:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p125:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:preview2:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p194:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p173:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p249:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:rc2:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:preview1:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p302:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:p72:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p0:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.7:preview4:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List