WEBrickの非公開ファイルにアクセスされる脆弱性についてPosted by Shugo Maeda on 3 Mar 2008 Rubyに標準で添付されているWEBrickライブラリにおいて、 このライブラリに含まれるローカルファイルシステム上のファイル (およびディレクトリ)を公開する機能を使用した場合に、公開を意 図していないリソースにアクセスが可能となる問題が発見されました。 特に、Windowsでこの機能を利用した場合には、ディレクトリトラ バーサルにより、プロセスの権限で読み取り可能な任意のファイル に対するアクセスが可能となります。 影響 この脆弱性は以下の状況で発生します。 WEBrick::HTTPServer.newの引数として、 :DocumentRootを指定してファイルを公開する場合 WEBrick::HTTPServlet::FileHandlerサーブレットを 利用してファイルを公開する場合 この脆弱性は以下の環境で
