Ruby向けXML解析ライブラリ「REXML」にReDoSの脆弱性
「Ruby」の標準ライブラリである「REXML」において、「ReDoS」攻撃を受けるおそれがある脆弱性が明らかになった。開発チームではアップデートを強く推奨している。
同ライブラリは、「XML」の解析機能を提供するソフトウェア。現地時間10月28日にセキュリティアドバイザリを公開し、正規表現の処理においてサービス拒否が生じる「ReDoS」の脆弱性「CVE-2024-49761」について明らかにした。
「REXML 3.3.8」や「Ruby 3.1」においてXMLファイルを解析した際、特定の処理を行うと、システムに負荷がかかり、サービスが停止するおそれがある。
開発チームでは、「REXML 3.3.9」にて脆弱性を修正。「Ruby 3.2」以降では、同脆弱性の影響を受けない。
また「Ruby 3.1」については、2025年3月にサポートを終了する予定のため、あわせて注意を呼びかけている。
(Security NEXT - 2024/11/15 )
ツイート
PR
関連記事
教室内で保管した小学校の児童情報含む書類が所在不明 - 大阪市
元職員が個人情報を掲示板投稿、システム設定に不備も - 津田塾大
個人情報含む文書を外部サイトに掲載、職員を処分 - 郡山広域消防
公開講座を案内する一斉メールで送信ミス - 東北学院大
エフサス製サーバ管理ソフト「ServerView Agents for Windows」に複数脆弱性
分散型DB「Apache Ignite」に脆弱性 - 修正版が公開
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
先週注目された記事(2026年5月24日〜2026年5月30日)
「Plesk」のLinux版に権限昇格の脆弱性 - 2月のリリースで修正済み
Oracleが補完パッチ、5製品35件の脆弱性を修正 - クリティカル11件
