PR
 2005年9月21日,情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンターは,スクリプト言語「Ruby」にセキュリティ・ホールがあることを公表した。今回発覚したのはRubyが備える「セーフ・レベル」というセキュリティ機能に関連するもの。対象バージョンは1.8.2以前。Rubyのサイトでは本日(9月21日)から,この問題を修正した最新バージョン1.8.3を配布している。

 セーフ・レベルとは,Rubyオブジェクトを実行させる条件であり,0~4のレベルがある。本来,レベル4のオブジェクトは,安全性を保証できないものと判断され,I/O出力や,グローバル変数の変更などの操作ができないようになっているが,今回発覚したセキュリティ・ホールを利用すると,その制限を回避できてしまう。