rubyの複数の脆弱性(CVE-2017-0898, CVE-2017-10784, CVE-2017-14033)

09/14/2017にrubyに複数の脆弱性情報(CVE-2017-0898, CVE-2017-10784, CVE-2017-14033)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

09/14/2017に複数の脆弱性情報(CVE-2017-0898, CVE-2017-10784, CVE-2017-14033)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

一次情報源

Moderate

各ディストリビューションの情報を確認してください。

Kernelモジュールのsprintfメソッドでバッファーアンダーランの脆弱性が発見されました。特別な指定子である”*”が含まれる悪意のある文字列が通過し、大きな負の値が指定子をパスすると、バッファーアンダーランが発生する可能性が有ります。

WEBrick libraryのベーシック認証のコードには、リモートの攻撃者にターミナルエミュレータのインジェクションを行われ、細工されたユーザ名による任意のコマンドを実行される脆弱性が有ります。

詳細は、各ディストリビューションの提供元にご確認ください

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を
参考にして下さい。

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。

—–