独立行政法人 情報処理推進機構(IPA)は7月11日,オープンソースのオブジェクト指向言語Rubyのセキュリティ・ホールを公表した。特定メソッドのおよびalias機能の問題で,Rubyのセキュリティ機能であるセーフレベル4が正常に機能しないというもの。Ruby 1.8.4-20060328以前のスナップショットが影響を受ける。対策は,最新版を利用すること。 セーフレベルとは,Rubyにおいて信頼できないオブジェクトの操作を制限するセキュリティ・モデルのひとつ。今回発見されたセキュリティ・ホールは,このセーフレベル設定を回避されるというもの。 今回公表されたセーフレベルの問題は2種類。ひとつは「JVN#13947696:『Ruby』において、特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性」で,サーバー・アプリケーションにおいてオブジェクトの状態を意図せず変更され