Ruby向けXML解析ライブラリ「REXML」にReDoSの脆弱性
「Ruby」の標準ライブラリである「REXML」において、「ReDoS」攻撃を受けるおそれがある脆弱性が明らかになった。開発チームではアップデートを強く推奨している。
同ライブラリは、「XML」の解析機能を提供するソフトウェア。現地時間10月28日にセキュリティアドバイザリを公開し、正規表現の処理においてサービス拒否が生じる「ReDoS」の脆弱性「CVE-2024-49761」について明らかにした。
「REXML 3.3.8」や「Ruby 3.1」においてXMLファイルを解析した際、特定の処理を行うと、システムに負荷がかかり、サービスが停止するおそれがある。
開発チームでは、「REXML 3.3.9」にて脆弱性を修正。「Ruby 3.2」以降では、同脆弱性の影響を受けない。
また「Ruby 3.1」については、2025年3月にサポートを終了する予定のため、あわせて注意を呼びかけている。
(Security NEXT - 2024/11/15 )
ツイート
PR
関連記事
2024年3Qのクレカ不正利用、約132.7億円 - 前四半期比2.4%減
2Qクレカ不正利用、前四半期比16%増 - 被害額が過去最多
修学旅行参加生徒の療育手帳が所在不明 - 西鉄旅行
QNAP製NASのOSに複数脆弱性 - アップデートで修正
障害児相談支援事業所に利用者の個人情報をメールで誤送信 - 高槻市
グループの一部サーバでランサム被害 - Denis Japan
DB抽出の個人情報が外部から閲覧可能に、設定ミスで - RIZAP
監視ツール「WhatsUp Gold」の深刻な脆弱性、詳細が明らかに
「Microsoft Edge」にアップデート - 脆弱性2件を解消
「WordPress」のメンテ機能を提供するプラグインにRCE脆弱性