製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性

タイトル	Ruby のハッシュ関数の実装におけるサービス運用妨害 (DoS) の脆弱性
概要	Ruby のハッシュ関数の実装には、サービス運用妨害 (DoS) の脆弱性が存在します。 Ruby のハッシュ関数の実装には、同一のハッシュ値となる複数の異なる文字列を容易に作成可能な問題が存在します。結果として、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 産業技術総合研究所情報技術研究部門田中哲氏
想定される影響	Ruby で実装されたアプリケーションが細工された入力を大量に処理することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。
公表日	2012年7月6日0:00
登録日	2012年7月6日12:00
最終更新日	2012年7月6日12:00

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

Ruby-lang.org

Ruby 1.8.7-p357 より前のバージョン

Ruby 1.9.1 より前の 1.9 系

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4815	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4815
National Vulnerability Database (NVD)
2	CVE-2011-4815	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4815
SECURITY BLOG
3	CVE-2011-4815 Denial of Service (DoS) vulnerability in Ruby	https://blogs.oracle.com/sunsecurity/entry/cve_2011_4815_denial_of

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT5281	http://support.apple.com/kb/HT5281
Ruby
2	Denial of service attack was found for Ruby's Hash algorithm (CVE-2011-4815)	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/

その他

No	名前	URL
IPA 緊急対策情報
1	20120106-web	http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html
JVN
2	JVN#90615481	http://jvn.jp/jp/JVN90615481/index.html
3	JVNVU#692779	http://jvn.jp/cert/JVNVU692779/
4	JVNVU#903934	https://jvn.jp/cert/JVNVU903934/
US-CERT Vulnerability Note
5	VU#903934	http://www.kb.cert.org/vuls/id/903934

変更履歴

No	変更内容	変更日
0	[2012年07月06日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-4815

概要	Ruby (aka CRuby) before 1.8.7-p357 computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
公表日	2011年12月30日10:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:33

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:ruby-lang:ruby:1.8.7-p334:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p330:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p302:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p299:::::::*
cpe:2.3:a:ruby-lang:ruby::::::::		1.8.7-p352

関連情報、対策とツール

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
2	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606
3	http://jvn.jp/en/jp/JVN90615481/index.html
4	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
5	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
6	http://rhn.redhat.com/errata/RHSA-2012-0069.html
7	http://rhn.redhat.com/errata/RHSA-2012-0070.html
8	http://secunia.com/advisories/47405
9	http://secunia.com/advisories/47822
10	http://support.apple.com/kb/HT5281
11	http://www.kb.cert.org/vuls/id/903934	US Government Resource
12	http://www.nruns.com/_downloads/advisory28122011.pdf
13	http://www.ocert.org/advisories/ocert-2011-003.html
14	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
15	http://www.securitytracker.com/id?1026474
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
17	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
19	http://www.securitytracker.com/id?1026474
20	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
21	http://www.ocert.org/advisories/ocert-2011-003.html
22	http://www.nruns.com/_downloads/advisory28122011.pdf
23	http://www.kb.cert.org/vuls/id/903934	US Government Resource
24	http://support.apple.com/kb/HT5281
25	http://secunia.com/advisories/47822
26	http://secunia.com/advisories/47405
27	http://rhn.redhat.com/errata/RHSA-2012-0070.html
28	http://rhn.redhat.com/errata/RHSA-2012-0069.html
29	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
30	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
31	http://jvn.jp/en/jp/JVN90615481/index.html
32	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html