6月20日付けでRubyの深刻な脆弱性が公開されている。Rubyベースのコードを走らせているWebサーバーを攻撃者に乗っ取られる可能性があるとのこと。最新版ではこの不具合は修正されているそうなので、関係者はできるだけ早くアップデートする必要あり。なお、以下は上記リンクに書いてある内容そのままだが、一応付けておく。

見つかった脆弱性は以下の５つ

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

最初の４つが integer overflow で、最後の一つはcontext-dependent attackerがrb_str_format関数にメモリ破壊を起こさせることができてしまうと書いてある。
# integer overflowって何だ？ 2バイト数で65535に１を加算したときに
# 不具合が起きてしまうような内容か？
# context-dependent attackerだから、何種類かの文字列をrb_str_format
# 関数へ食わせるような攻撃者がいて始めてメモリ破壊が起こるのかな。
# rb_str_format関数て何する関数だ？rubyistでないので解らんのう・・・

影響を受けるバージョン

• 1.8.4以前の全てのバージョン
• 1.8.5-p230以前の全てのバージョン
• 1.8.6-p229以前の全てのバージョン
• 1.8.7-p21以前の全てのバージョン

• 1.9.0-1以前の全てのバージョン

さらに詳しい内容は上記リンク等を参照されたい。
# なんで表では騒いでないのだろう。誰もタレこんでないから？