製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby Agent における重要な情報を取得される脆弱性

Title	Ruby Agent における重要な情報を取得される脆弱性
Summary	Ruby Agent には、New Relic が運用するサーバと通信する場合に、データをシリアライズするため、重要な情報 (データベースの認証情報および SQL ステートメント) を取得される脆弱性が存在します。
Possible impacts	第三者により、ネットワークを傍受される、およびデータをデシリアライズされることで、重要な情報 (データベースの認証情報および SQL ステートメント) を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 13, 2013, midnight
Registration Date	April 11, 2013, 7:38 p.m.
Last Update	April 11, 2013, 7:38 p.m.

Affected System

New Relic

Ruby Agent 3.2.0 から 3.5.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-0284	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0284
National Vulnerability Database (NVD)
2	CVE-2013-0284	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0284

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
New Relic
1	Ruby Agent Security Notification	https://newrelic.com/docs/ruby/ruby-agent-security-notification

その他

No	Name	URL
関連文書
1	Some rubygems related CVEs	http://seclists.org/oss-sec/2013/q1/304

Change Log

No	Changed Details	Date of change
0	[2013年04月11日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-0284

Summary	Ruby agent 3.2.0 through 3.5.2 serializes sensitive data when communicating with servers operated by New Relic, which allows remote attackers to obtain sensitive information (database credentials and SQL statements) by sniffing the network and deserializing the data.
Publication Date	April 10, 2013, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:33 p.m.
Last Update	Nov. 21, 2024, 10:47 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/oss-sec/2013/q1/304
2	http://seclists.org/oss-sec/2013/q1/304
3	https://newrelic.com/docs/ruby/ruby-agent-security-notification	Vendor Advisory
4	https://newrelic.com/docs/ruby/ruby-agent-security-notification	Vendor Advisory

Common Vulnerabilities List