情報処理推進機構とJPCERT コーディネーションセンターは1月29日、オープンソースのアプリケーション開発フレームワーク「Ruby on Rails」に脆弱性が見つかったとして、脆弱性情報サイト「JVN」に情報を公開した。
それによると、見つかった脆弱性はJavaScript Object Notation（JSON)の解析処理に存在するもので、Ruby on Rails 3.0.20より前の3.0系と、Ruby on Rails 2.3.16より前の2.3系が影響を受ける。脆弱性を悪用された場合、認証回避や任意のコード実行、サービス妨害（DoS）などにつながる恐れがある。
既にこの脆弱性を解決したRuby on Rails 3.0.20と同2.3.16、修正パッチがリリースされている。また、これらをすぐに適用できない場合の影響軽減策としてJSONGemの利用を推奨している。

Ruby on Railsに、リモートより任意のコードを実行される脆弱性が発見されました。
この脆弱性は、JavaScript Object Notation（JSON）パラメータ解析におけるJSONからYAMLへの変換不備に起因します。この脆弱性を悪用して、攻撃者はターゲットホスト上にて、Webサーバの動作権限で任意のコードの実行が可能です。

今回、このRuby on RailsのJSONのパラメータ解析の脆弱性により任意のコードを実行される脆弱性（CVE-2013-0333）の再現性について検証を行いました。

検証環境には、HTTPリクエストを処理するためのWebサーバとWebアプリケーションフレームワークとしてRuby on Railsを使用するRailsアプリケーションを使用しております。

http://security.intellilink.co.jp/article/vulner/130201.html