スクリプト言語「Ruby」で構成される開発プラットフォーム「Ruby on Rails」に脆弱性の問題が発見されました。

「Ruby on Rails」を使って、Webアプリケーションを作成している方は要注意です。

この問題を扱っている記事を、以下に挙げておきます。

• RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した
• Ruby on rails flaw is found and fixed - The Inquirer
• Ruby on Rails XSS vulnerability patched - Update - News - The H Security: News and features
• XSS vulnerability in Ruby on Rails

情報によりますと、発見したのはBrian Mastenbrook氏で、彼のブログには詳細な情報が載せられている模様です。

• Brian Mastenbrook: How I cross-site scripted Twitter in 15 minutes, and why you shouldn't store important data on 37signals' applications

彼は数週間前にUnicode処理のバグを発見し、これがWebアプリケーションでも起こせるかどうかためしていたところ、「Twitter」や「Basecamp」でも問題を引き起こすことができたようです。

彼のブログによりますと、「Twitter」や「Ruby on Rails」などは迅速な対応をしてくれたのに対して、「Basecamp」を扱う「37signals」は対応が遅かったようです……。

何にせよ、「Ruby on Rails」の2.0、2.1、2.2、2.3などを使っている方は、この問題が再現できるはずなので、バグに対するパッチを当てることをお勧めします。

Railsチームによる報告・パッチの情報はこちらをどうぞ。

• XSS Vulnerability in Ruby on Rails - Ruby on Rails: Security | Google グループ