Rubyにゼロデイ攻撃可能な脆弱性 19
http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-dev/42003 によると、Rubyに添付のWebサーバフレームワークWEBrickにXSS可能な脆弱性が発見されたらしい。
ところが、この脆弱性を発見したのはAppleのようなのだが、Mac OS X同梱のRubyについては既にセキュリティアップデートで対応が行われたのに、Ruby本体側では未だに一切の対応がなされていないようだ。
つまり、Mac OS X同梱ではないRubyに添付のWEBrickを使用しているWebサービスについては、現在、ゼロデイ攻撃が可能な脆弱性が存在するということになる。
AppleがRuby本体側に情報を開示しないままに脆弱性の公開を許可してしまったのか、それともRuby本体側の対応が遅れてしまって公開期限に間に合わなかったのか、はたまた別の問題があったのか。
なんにせよ、どうしてこうなった!?