WEBrick にゼロデイ攻撃可能な脆弱性 19
ストーリー by reo
Appleェ…… 部門より
Appleェ…… 部門より
ある Anonymous Coward 曰く、
[ruby-dev:42003] から始まるスレッド によると、Ruby に添付の Web サーバフレームワーク WEBrick に XSS 可能な脆弱性が発見されたらしい。
ところが、この脆弱性を発見したのは Apple のようなのだが、Mac OS X 同梱の Ruby については既にセキュリティアップデートで対応が行われたのに、Ruby 本体側では未だに一切の対応がなされていないようだ。つまり、Mac OS X 同梱ではない Ruby に添付の WEBrick を使用している Web サービスについては、現在、ゼロデイ攻撃が可能な脆弱性が存在するということになる。
Apple が Ruby 本体側に情報を開示しないままに脆弱性の公開を許可してしまったのか、それとも Ruby 本体側の対応が遅れてしまって公開期限に間に合わなかったのか、はたまた別の問題があったのか。なんにせよ、どうしてこうなった!?
最新のパッチリリース (スコア:4, 参考になる)
Mac OS X 10.6 の ruby -v は「ruby 1.8.7 (2009-06-12 patchlevel 174) [universal-darwin10.0]」ですが、
Ruby 1.8.7 の最新のパッチリリースは Ruby 1.8.7-p299 なので、
Mac を使っていても WEBrick を公開用サーバに用いないようにしてください。
http://www.ruby-lang.org/ja/news/2010/06/23/ruby-1-8-7-p299-/ [ruby-lang.org]
Re: (スコア:0)
(この脆弱性がまさにそうであるように)独自の修正が当てられててパッチレベルを見てもわからないんじゃないの?
DebianのApacheなんかもそうだよね。
Re: (スコア:0)
Re:最新のパッチリリース (スコア:5, 参考になる)
その「確認」は lib/webrick について、p174 との比較でしたね。
どんなパッチを当てたかは、opensource.apple.com にて公開されており、
具体的には http://opensource.apple.com/source/ruby/ruby-75.2/ [apple.com] です。
http://opensource.apple.com/source/ruby/ruby-75.2/patches/ [apple.com] を見るといくつか当たっていることがわかる。
で、パッチはさておき、ベースのリビジョンが p174 であることは ruby -v を見ればわかると。
Re: (スコア:0)
てっきり、開発で便利につかえる、
簡易サーバだと思ってました。
Apple酷いです (スコア:2, 興味深い)
Appleが、自分だけ脆弱性直して、他の人達がどうなってもかまわないという考えで情報を開示したってことですよね、これ。
倫理的に許されるんですか?
Re: (スコア:0)
え、この親コメが「荒らし」モデなの?
そう邪推されてもしかたがないような状況なんじゃないの?
Re: (スコア:0)
Re: (スコア:0)
IRCを見てると、コミッタでAppleに対して激怒してる人はいるみたいですね。
Re:Apple酷いです (スコア:1, 参考になる)
らしいので、それ以前は知らされていなかったということだね。それなら激怒して当然と言える。
担当者が連絡忘れてた、というオチ (スコア:2)
"It was a communication problem, we forgot to tell Ruby upstream. Hopefully it won't happen again." [twitter.com]
という担当者のお言葉なので、「忘れてた」という話。
Chromeの脆弱性をSafariに応用できる可能性 (スコア:1, 興味深い)
もかなり気になるわけですが。Chromeがあまり脆弱性の詳細を明らかにしないのはそのためでしょうか。
Mac なら安心 (スコア:1, おもしろおかしい)
Re:Mac なら安心 (スコア:1)
ソフトウェアのセキュリティ性能
すべてのソフトウェアは、悪意あるクラッカーから攻撃を受けています。
ほとんどのソフトウェアで、叩き方によっては安全性の強度が弱まる事があります。
Appleはこのことを検証するために、Mac OS Xと他社のソフトウェアのテストを行いました。
Re: (スコア:0)
話を ruby に限定しても、本家で対応されたのに Mac では直してない脆弱性がいくつもあるけどね。
つまらないツッコミで恐縮ですが (スコア:1, すばらしい洞察)
って違和感が。
# ゼロデイ攻撃が不可能な脆弱性なんてないよね?
Re:つまらないツッコミで恐縮ですが (スコア:1, おもしろおかしい)
1日経ったら不可能になると思いますよ、ゼロデイ攻撃。
例えば、zlibのbuffer overrunを潰して数ヶ月たってから、「あ、こんなところにコードコピペ/static linkされてる!」なんてのが見つかったら、これはゼロデイ脆弱性と言えるか否か。
Re: (スコア:0)
># ゼロデイ攻撃が不可能な脆弱性なんてないよね?
リリース、コンパイル前にテスト/レビュー工程で潰せば有りえる。
Re: (スコア:0)
このストーリーの文脈からすると、対処される前に公開されてしまった可能性あり、というのが問題なのでは、と。
つまり、ここでは、発表された時点で対策ができあがってるのは「ゼロデイ攻撃が不可能な脆弱性」と言えるのでは。