「Ruby on Rails」にXSSの脆弱性が発見される
スクリプト言語「Ruby」で構成される開発プラットフォーム「Ruby on Rails」に脆弱性の問題が発見されました。
「Ruby on Rails」を使って、Webアプリケーションを作成している方は要注意です。
この問題を扱っている記事を、以下に挙げておきます。
- RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した
- Ruby on rails flaw is found and fixed - The Inquirer
- Ruby on Rails XSS vulnerability patched - Update - News - The H Security: News and features
- XSS vulnerability in Ruby on Rails
情報によりますと、発見したのはBrian Mastenbrook氏で、彼のブログには詳細な情報が載せられている模様です。
彼は数週間前にUnicode処理のバグを発見し、これがWebアプリケーションでも起こせるかどうかためしていたところ、「Twitter」や「Basecamp」でも問題を引き起こすことができたようです。
彼のブログによりますと、「Twitter」や「Ruby on Rails」などは迅速な対応をしてくれたのに対して、「Basecamp」を扱う「37signals」は対応が遅かったようです……。
何にせよ、「Ruby on Rails」の2.0、2.1、2.2、2.3などを使っている方は、この問題が再現できるはずなので、バグに対するパッチを当てることをお勧めします。
Railsチームによる報告・パッチの情報はこちらをどうぞ。