「Ruby」の脆弱性情報
CVSS v25
CVSS v3-
更新日 : 2013/04/11 10:38
Ruby Agent には、New Relic が運用するサーバと通信する場合に、データをシリアライズするため、重要な情報 (データベースの認証情報および SQL ステートメント) を取得される脆弱性が存在します。
CVSS v22.1
CVSS v3-
更新日 : 2013/03/04 07:59
Ruby 用 ruby_parser gem の lib/gauntlet_rubyparser.rb 内の diff_pp 関数には、任意のファイルを上書きされる脆弱性が存在します。
CVSS v27.2
CVSS v3-
更新日 : 2012/12/20 10:29
Windows 上で稼動している Ruby は、バックアップファイルのファイル名を構成する際適切に処理しないため、バッファオーバーフローの脆弱性が存在します。
CVSS v210
CVSS v3-
更新日 : 2012/12/20 10:28
Ruby の string.c の rb_str_justify 関数は、以下に関する処理に不備があるため、ヒープベースのバッファオーバーフローの脆弱性が存在します。
(1) String#ljust
(2) String#center
(3) String#rjust
CVSS v25
CVSS v3-
更新日 : 2012/12/20 09:52
Ruby の WEBrick は、WEBrick::HTTPServlet::FileHandler 機能、WEBrick::HTTPServer.new 機能、および :DocumentRoot オプションに関する不備があるため、ディレクトリトラバーサルの脆弱性が存在します。
CVSS v26.8
CVSS v3-
更新日 : 2012/12/20 09:34
Ruby-GNOME 2 の gtk/src/rbgtkmessagedialog.c の mdiag_initialize 関数には、フォーマットストリングの脆弱性が存在します。
CVSS v29.3
CVSS v3-
更新日 : 2012/12/20 09:19
RubyGems の installer.rb の extract_files 関数は、上書きされる前にファイルが存在するかどうかをチェックしないため、任意のファイルを上書きされる、サービス運用妨害 (DoS) 状態となる、または任意のコードを…
CVSS v25
CVSS v3-
更新日 : 2012/11/29 07:08
Ruby は、ハッシュ衝突を想定した制限を適切に行わずにハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
本脆弱性は、CVE-2011-4815 とは異なる脆弱性です。
CVSS v25
CVSS v3-
更新日 : 2012/11/29 07:05
JRuby は、ハッシュ衝突を想定した制限を適切に行わずにハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
本脆弱性は、CVE-2011-4838 とは異なる脆弱性です。
CVSS v24.3
CVSS v3-
更新日 : 2012/11/27 11:02
JRuby の正規表現エンジンは、$KCODE が 'u' に設定されている場合、UTF-8 文字の直後の文字を適切に処理しないため、クロスサイトスクリプティング攻撃を実行される脆弱性が存在します。
CVSS v25
CVSS v3-
更新日 : 2012/11/27 07:56
Ruby の file.c 内の rb_get_path_check 関数には、想定外のロケーション内に、想定外の名称を持つファイルを作成される脆弱性が存在します。
CVSS v2-
CVSS v3-
更新日 : 2012/07/06 04:48
** 削除 ** 本案件は、早期警戒パートナーシップに基づく JVN の脆弱性レポート JVN#90615481 の公開に伴い、JVNDB-2012-000066 へ内容を移行しました。JVNDB-2012-000066 を参照してください。
http://jvndb.jv…
CVSS v25
CVSS v3-
更新日 : 2012/07/06 03:00
Ruby のハッシュ関数の実装には、サービス運用妨害 (DoS) の脆弱性が存在します。
Ruby のハッシュ関数の実装には、同一のハッシュ値となる複数の異なる文字列を容易に作成可能な問題が存在します。結果として、…
CVSS v25.8
CVSS v3-
更新日 : 2012/04/13 03:01
ActiveScriptRuby には、ActiveX コントロールを実行可能なウェブブラウザで HTML を表示した際に、任意の Ruby スクリプトが実行可能な脆弱性が存在します。
ActiveScriptRuby は、Windows 環境に Ruby を導入…
CVSS v25
CVSS v3-
更新日 : 2012/03/27 09:43
Ruby は、fork 中の random seed をリセットしないため、乱数の値を推測される脆弱性が存在します。
本問題は、CVE-2003-0900 と関連する可能性があります。
CVSS v25
CVSS v3-
更新日 : 2012/03/27 09:43
lib/securerandom.rb in Ruby の lib/securerandom.rb の SecureRandom.random_bytes 関数は、初期化に際して PID 値に依存しているため、結果の文字列を推測される脆弱性が存在します。
CVSS v25
CVSS v3-
更新日 : 2012/03/27 09:43
Rubyは、fork 中に random seed をリセットしないため、乱数の値を推測される脆弱性が存在します。
本問題は、CVE- 2003-0900 と関連する可能性があります。
補足: 本問題は Ruby 1.8.6 開発中のリグレッションに…
CVSS v22.1
CVSS v3-
更新日 : 2012/03/27 09:43
SUSE Linux Enterprise (SLE) の rubygem-sqlite3 パッケージの sqlite3-ruby gem は、ファイルに脆弱なパーミッションを使用するため、権限を取得される脆弱性が存在します。
CVSS v27.8
CVSS v3-
更新日 : 2012/01/04 07:43
JRuby は、ハッシュ衝突を想定した制限を行わずにフォームパラメータのハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
CVSS v24.3
CVSS v3-
更新日 : 2011/07/28 01:06
Apple Mac OS X の Ruby WEBrick HTTP サーバには、クロスサイトスクリプティングの脆弱性が存在します。
CVSS v25
CVSS v3-
更新日 : 2011/07/28 01:04
Ruby の WEBrick は、非印字可能文字を削除せずにログファイルへの書き込みを行うため、ウィンドウのタイトルを変更される、または任意のコードを実行される、もしくはファイルを上書きされる脆弱性が存在します。
CVSS v24.3
CVSS v3-
更新日 : 2011/01/18 03:01
Ruby Version Manager には、エスケープシーケンスインジェクションの脆弱性が存在します。
Ruby Version Manager は、複数の Ruby 環境の管理を行うためのコマンドラインツールです。Ruby Version Manager には…
CVSS v25
CVSS v3-
更新日 : 2010/04/26 07:46
Ruby の BigDecimal ライブラリには、大きな数を表す文字列の引数処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
CVSS v26.8
CVSS v3-
更新日 : 2009/08/06 02:34
Ruby の ext/openssl/ossl_ocsp.c には、OCSP_basic_verify 関数からの戻り値が適切にチェックされない為、X.509 証明書に関する脆弱性が存在します。
CVSS v25
CVSS v3-
更新日 : 2009/06/29 03:08
Ruby の REXML モジュールには、再帰的にネストされた XML ドキュメントの処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
CVSS v27.5
CVSS v3-
更新日 : 2009/06/29 03:08
Ruby の dl モジュールには、入力値の汚染確認をしないため、セーフレベルを回避され、危険な関数が実行される脆弱性が存在します。
CVSS v27.8
CVSS v3-
更新日 : 2009/06/29 03:07
Ruby の WEBrick に実装されている WEBrick::HTTP::DefaultFileHandler には、バックトラック型正規表現の処理に不備があることによりサービス運用妨害 (DoS) 状態となる脆弱性が存在します。
CVSS v26.4
CVSS v3-
更新日 : 2009/06/29 03:07
Ruby には、重要な変数とメソッドのアクセス制限処理に不備があるため、アクセス制限を回避される脆弱性が存在します。
CVSS v25
CVSS v3-
更新日 : 2009/06/29 03:07
Ruby の正規表現エンジン (regex.c) には、Ruby ソケットへのリクエスト処理に不備があることにより、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
CVSS v25.8
CVSS v3-
更新日 : 2008/11/20 08:14
Ruby の resolv.rb には、DNS リクエストに連続したトランザクション ID と一定のソースポートを使用するため、DNS レスポンスを偽装される脆弱性が存在します。
本問題は CVE-2008-1447 とは異なる問題です。
