NVD脆弱性詳細
Exploit、PoC検索
CVE-2012-4464
概要

Ruby 1.9.3 before patchlevel 286 and 2.0 before revision r37068 allows context-dependent attackers to bypass safe-level restrictions and modify untainted strings via the (1) exc_to_s or (2) name_err_to_s API function, which marks the string as tainted, a different vulnerability than CVE-2012-4466. NOTE: this issue might exist because of a CVE-2011-1005 regression.

公表日 2013年4月26日8:55
登録日 2021年1月28日15:03
最終更新日 2013年8月27日12:27
CVSS2.0 : MEDIUM
スコア 5.0
ベクター AV:N/AC:L/Au:N/C:N/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:ruby-lang:ruby:1.9.3:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p0:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p125:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:p194:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:p0:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:preview1:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:preview2:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:rc2:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Ruby における safe-level の制限を回避される脆弱性
タイトル Ruby における safe-level の制限を回避される脆弱性
概要

Ruby には、safe-level の制限を回避される、および汚染されていない文字列 (untainted strings) に変更される脆弱性が存在します。 本脆弱性は、CVE-2012-4466 とは異なる脆弱性です。 本脆弱性は、CVE-2011-1005 のリグレッションに起因した脆弱性です。

想定される影響 攻撃者により、文字列を汚染されたものとしてマークする (1) exc_to_s、または (2) ame_err_to_s API 関数を介して、safe-level 制限を回避される、および汚染されていない文字列 (untainted strings) に変更される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2012年10月3日0:00
登録日 2013年4月30日17:25
最終更新日 2013年4月30日17:25
影響を受けるシステム
Ruby-lang.org
Ruby パッチレベル 286 未満の 1.9.3
Ruby リビジョン r37068 未満の 2.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2013年04月30日]
  掲載		 2018年2月17日10:37