Ruby on Railsをお使いですか?もしそうなら、今すぐアップデートしましょう。
Ruby on Railsは、Rubyプログラミング言語と組み合わせて使用するオープンソースのWebアプリケーションフレームワークです。Ruby on Rails(または単にRails)は、Web開発者にWebサーバーからの情報収集やデータベースへのクエリ実行機能を提供します。Railsは、eコマースからクラウドストレージまで、推定25万のウェブサイトで利用されています。
Railsには、攻撃者の標的となっている重大な脆弱性が存在します。このmass assignments脆弱性は、RailsにおけるSQLインジェクションに相当し、Railsを攻撃の脅威にさらします。
nCircleのセキュリティ研究開発ディレクター、ラマー・ベイリー氏は、「Ruby on Railsのパッチ未適用バージョンにはすべて、パラメータ解析に関する重大な脆弱性が含まれており、攻撃者はこれらのバグを利用してコードを実行したり、SQLインジェクション攻撃を仕掛けたりする可能性があります」と説明した。
ベイリー氏はまた、一般的なツールがエクスプロイトを自動化しているため、攻撃者にとってさらに容易になっていると指摘しました。エクスプロイトは既に出回っており、Webサーバーが乗っ取られたという報告もあります。エクスプロイトが成功すれば、攻撃者はウェブサイトを乗っ取ったり、基盤となるデータベースから貴重なデータを盗み出したりすることが可能になります。
この問題は、XMLパーサーが有効なサーバー(デフォルトで有効)であれば、すべて影響を受けます。回避策としては、XMLパーサーを無効化する方法もありますが、RailsアプリケーションでXML入力を処理する必要がある場合は問題が発生する可能性があります。Railsセキュリティアドバイザリでは、XMLパーサーにおける問題の核心であるYAMLとシンボルのサポートを無効にする方法について詳しく説明しています。
より良い解決策は、欠陥のあるRailsを更新することです。これらの脆弱性を修正したRailsの新バージョンが利用可能です。新リリース(3.2.11、3.1.10、3.0.19、2.3.15)には、2つの極めて重大なセキュリティ修正が含まれています。セキュリティ専門家は、IT管理者に対し、Ruby on Railsのアップデートを最優先事項とするよう強く推奨しています。
ベイリー氏は、「早ければすぐにでも [Rails] を更新してください」と述べています。
