製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby on Rails に複数の脆弱性

タイトル	Ruby on Rails に複数の脆弱性
概要	Ruby on Rails には、複数の脆弱性が存在します。 Ruby on Rails の Action Pack には、パラメータ解析処理に複数の脆弱性が存在します。
想定される影響	遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意の SQL コマンドが実行されたりするなどの可能性があります。
対策	[アップデートする] 最新版へアップデートしてください。 [パッチを適用する] 対応するパッチを適用してください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* XML の解析処理を無効にする　* XML の解析処理において、YAML および Symbol のサポートを無効にする　* YAML の解析処理を無効にする詳しくは開発者が提供する情報をご確認ください。 https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
公表日	2013年1月9日0:00
登録日	2013年1月10日16:20
最終更新日	2014年3月28日15:31

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

アップル

Apple Mac OS X Server 10.6.8

Apple Mac OS X Server v10.7 から v10.7.5

Apple Mac OS X Server v2.1.1 未満 (OS X v10.8 以降)

富士通

ServerView Resource Orchestrator V2.2.2

ServerView Resource Orchestrator V2.3.0

ServerView Resource Orchestrator Virtual Edition V3.0.0

ServerView Resource Orchestrator Virtual Edition V3.1.0

ServerView Resource Orchestrator Virtual Edition V3.1.0A

ServerView Resource Orchestrator Virtual Edition V3.1.1

ServerView Resource Orchestrator Virtual Edition V3.1.1A

ServerView Resource Orchestrator Virtual Edition V3.1.2

ServerView Resource Coordinator VE Compact セット V2.1.0

ServerView Resource Coordinator VE Compact セット V2.1.1

ServerView Resource Coordinator VE Compact セット V2.1.2

ServerView Resource Coordinator VE Compact セット V2.1.3

ServerView Resource Coordinator VE Compact セット V2.2.0

ServerView Resource Coordinator VE Compact セット V2.2.2

ServerView Resource Coordinator VE Enterprise V2.1.0

ServerView Resource Coordinator VE Enterprise V2.1.1

ServerView Resource Coordinator VE Enterprise V2.1.2

ServerView Resource Coordinator VE Enterprise V2.1.3

ServerView Resource Coordinator VE Enterprise V2.2.0

ServerView Resource Coordinator VE Enterprise V2.2.2

ServerView Resource Coordinator VE Standard V2.1.0

ServerView Resource Coordinator VE Standard V2.1.1

ServerView Resource Coordinator VE Standard V2.1.2

ServerView Resource Coordinator VE Standard V2.1.3

ServerView Resource Coordinator VE Standard V2.2.0

ServerView Resource Coordinator VE Standard V2.2.2

ServerView Resource Orchestrator Cloud Edition V3.0.0

ServerView Resource Orchestrator Cloud Edition V3.1.0

ServerView Resource Orchestrator Cloud Edition V3.1.0A

ServerView Resource Orchestrator Cloud Edition V3.1.1

ServerView Resource Orchestrator Cloud Edition V3.1.1A

ServerView Resource Orchestrator Cloud Edition V3.1.2

ServerView Resource Orchestrator Express V3.1.0

ServerView Resource Orchestrator Express V3.1.0A

ServerView Resource Orchestrator Express V3.1.1

ServerView Resource Orchestrator Express V3.1.1A

ServerView Resource Orchestrator Express V3.1.2

ServerView Resource Orchestrator V2.2.0

ServerView Resource Orchestrator V2.2.1

Systemwalker Resource Coordinator Virtual server Edition 13.3.0

Ruby on Rails project

Rails 2.3.15 より前の 2.3 系

Rails 3.0.19 より前の 3.0 系

Rails 3.1.10 より前の 3.1 系

Rails 3.2.11 より前の 3.2 系

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-0156	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0156
National Vulnerability Database (NVD)
2	CVE-2013-0156	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-0156

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Apple Mailing Lists
1	APPLE-SA-2013-03-14-1	http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html
Apple Security Updates
2	HT5644	http://support.apple.com/kb/HT5644
3	HT5672	http://support.apple.com/kb/HT5672
Apple セキュリティアップデート
4	HT5644	http://support.apple.com/kb/HT5644?viewlocale=ja_JP
5	HT5672	http://support.apple.com/kb/HT5672?viewlocale=ja_JP
Debian Security Advisory
6	DSA-2604	http://www.debian.org/security/2013/dsa-2604
Google Groups
7	Multiple vulnerabilities in parameter parsing in Action Pack (CVE-2013-0156)	https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
Red Hat Security Advisory
8	RHSA-2013:0153	http://rhn.redhat.com/errata/RHSA-2013-0153.html
9	RHSA-2013:0154	http://rhn.redhat.com/errata/RHSA-2013-0154.html
10	RHSA-2013:0155	http://rhn.redhat.com/errata/RHSA-2013-0155.html
Ruby on Rails project
11	[SEC][ANN] Rails 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been released!	http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
富士通セキュリティ情報
12	Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)	http://software.fujitsu.com/jp/security/products-fujitsu/solution/sw_sv_rcve_ror201301.html#swlkrc

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-13-036-01A	http://ics-cert.us-cert.gov/advisories/ICSA-13-036-01A
JVN
2	JVNVU#90360497	http://jvn.jp/cert/JVNVU90360497/
3	JVNVU#93436975	http://jvn.jp/cert/JVNVU93436975/
4	JVNVU#94771138	http://jvn.jp/cert/JVNVU94771138
US-CERT Vulnerability Note
5	VU#380039	http://www.kb.cert.org/vuls/id/380039
6	VU#628463	http://www.kb.cert.org/vuls/id/628463

変更履歴

No	変更内容	変更日
0	[2013年01月10日] 掲載 [2013年01月15日] CWE による脆弱性タイプ一覧：CWE-ID を追加 [2013年02月05日] CVSS による深刻度：基本値と機密性への影響、完全性への影響、可用性への影響を変更 [2013年02月20日] ベンダ情報：Debian (DSA-2604) を追加ベンダ情報：レッドハット (RHSA-2013:0153) を追加ベンダ情報：レッドハット (RHSA-2013:0154) を追加ベンダ情報：レッドハット (RHSA-2013:0155) を追加 [2013年03月14日] 影響を受けるシステム：富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の情報を追加ベンダ情報：富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) を追加 [2013年04月02日] 影響を受けるシステム：アップル (HT5644) の情報を追加影響を受けるシステム：アップル (HT5672) の情報を追加ベンダ情報：アップル (HT5644) を追加ベンダ情報：アップル (HT5672) を追加ベンダ情報：アップル (APPLE-SA-2013-03-14-1) を追加 [2014年03月28日] 影響を受けるシステム：富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の内容を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-0156

概要	active_support/core_ext/hash/conversions.rb in Ruby on Rails before 2.3.15, 3.0.x before 3.0.19, 3.1.x before 3.1.10, and 3.2.x before 3.2.11 does not properly restrict casts of string values, which allows remote attackers to conduct object-injection attacks and execute arbitrary code, or cause a denial of service (memory and CPU consumption) involving nested XML entity references, by leveraging Action Pack support for (1) YAML type conversion or (2) Symbol type conversion.
公表日	2013年1月14日7:55
登録日	2021年1月26日15:32
最終更新日	2024年11月21日10:46

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:rubyonrails:ruby_on_rails::::::::	3.0.0			3.0.19
cpe:2.3:a:rubyonrails:ruby_on_rails::::::::	3.1.0			3.1.10
cpe:2.3:a:rubyonrails:ruby_on_rails::::::::				2.3.15
cpe:2.3:a:rubyonrails:rails::::::::	3.2.0			3.2.11

構成2	以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:7.0:::::::*
cpe:2.3:o:debian:debian_linux:6.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://ics-cert.us-cert.gov/advisories/ICSA-13-036-01A	Third Party Advisory US Government Resource
2	http://ics-cert.us-cert.gov/advisories/ICSA-13-036-01A	Third Party Advisory US Government Resource
3	http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html	Mailing List Third Party Advisory
4	http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html	Mailing List Third Party Advisory
5	http://rhn.redhat.com/errata/RHSA-2013-0153.html	Third Party Advisory
6	http://rhn.redhat.com/errata/RHSA-2013-0153.html	Third Party Advisory
7	http://rhn.redhat.com/errata/RHSA-2013-0154.html	Third Party Advisory
8	http://rhn.redhat.com/errata/RHSA-2013-0154.html	Third Party Advisory
9	http://rhn.redhat.com/errata/RHSA-2013-0155.html	Third Party Advisory
10	http://rhn.redhat.com/errata/RHSA-2013-0155.html	Third Party Advisory
11	http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/	Vendor Advisory
12	http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/	Vendor Advisory
13	http://www.debian.org/security/2013/dsa-2604	Third Party Advisory
14	http://www.debian.org/security/2013/dsa-2604	Third Party Advisory
15	http://www.fujitsu.com/global/support/software/security/products-f/sw-sv-rcve-ror201301e.html	Third Party Advisory
16	http://www.fujitsu.com/global/support/software/security/products-f/sw-sv-rcve-ror201301e.html	Third Party Advisory
17	http://www.insinuator.net/2013/01/rails-yaml/	Third Party Advisory
18	http://www.insinuator.net/2013/01/rails-yaml/	Third Party Advisory
19	http://www.kb.cert.org/vuls/id/380039	Third Party Advisory US Government Resource
20	http://www.kb.cert.org/vuls/id/380039	Third Party Advisory US Government Resource
21	http://www.kb.cert.org/vuls/id/628463	Third Party Advisory US Government Resource
22	http://www.kb.cert.org/vuls/id/628463	Third Party Advisory US Government Resource
23	https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156	Third Party Advisory
24	https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156	Third Party Advisory
25	https://groups.google.com/group/rubyonrails-security/msg/c1432d0f8c70e89d?dmode=source&output=gplain	Third Party Advisory
26	https://groups.google.com/group/rubyonrails-security/msg/c1432d0f8c70e89d?dmode=source&output=gplain	Third Party Advisory
27	https://puppet.com/security/cve/cve-2013-0156	Third Party Advisory
28	https://puppet.com/security/cve/cve-2013-0156	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html