独立行政法人情報処理推進機構のセキュリティセンター(IPA/ISEC)は12月4日、スクリプト言語「Ruby」とWikiクローンである「Tikiwiki」の脆弱性情報を公開した。
Ruby言語の標準ライブラリである「cgi.rb」には、サービス運用妨害(DoS)状態になる脆弱性が確認された。この問題を悪用されると、遠隔の攻撃者からの特定のリクエストによって、サーバーのリソースを過度に消費される可能性がある。
影響を受けるシステムは1.8系では1.8.5以前のすべてのバージョン、と1.9系(開発版)では2006-12-04以前のすべてのバージョン。この問題を回避するには、ベンダーが提供する最新のバージョンへバージョンアップする。
TikiWikiは、ウェブブラウザ上からウェブコンテンツの発行や編集を行うことができるWikiプログラムのクローン。TikiWikiは、ウェブページを出力する際に適切な処理を行っていないことが原因で、クロスサイトスクリプティングを実行される脆弱性が確認された。この問題が悪用されると、遠隔の攻撃者に悪意あるページに誘導され、ページ内のスクリプトを実行される可能性がある。
影響を受けるシステムは1.9.5以前のすべてのバージョン。この問題を回避するには、ベンダーが提供する最新のバージョンへバージョンアップする。
