プログラミング

PROGRAMMING

公開：2024-11-07

【CVE-2024-49761】Ruby用XMLツールキットREXMLにReDoS脆弱性が発見、アップデートで対処が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• REXMLに重大な脆弱性【CVE-2024-49761】が発見
• Ruby 3.1系列のREXML 3.3.9未満が影響を受ける
• パッチ適用によりReDoS脆弱性に対処

REXMLのReDoS脆弱性

Ruby用XMLツールキットREXMLにおいて、16進数文字参照の処理に関連する重大な脆弱性【CVE-2024-49761】が2024年10月28日に公開された。この脆弱性は「」と「x」の間に多数の数字が含まれる16進数文字参照を解析する際に発生するReDoS（正規表現サービス拒否）脆弱性であり、Ruby 3.1系列のREXML 3.3.9未満のバージョンが影響を受けることが判明している。^[1]

脆弱性の重要度はCVSS v4.0のスコアリングシステムにおいて6.6（MEDIUM）と評価されており、攻撃の条件として特別な権限や認証は不要とされている。REXMLの開発チームは迅速な対応を行い、REXML 3.3.9以降のバージョンでこの脆弱性に対するパッチを提供している。

なお、Ruby 3.2以降のバージョンではこの脆弱性の影響を受けないことが確認されており、影響を受けるのはRuby 3.1系列のみとなっている。Ruby 3.1系列を使用しているユーザーに対しては、REXML 3.3.9以降へのアップデートが推奨されており、セキュリティリスクを軽減するための対応が必要とされている。

脆弱性の詳細情報まとめ

ReDoSについて

ReDoSとは「Regular Expression Denial of Service」の略称で、正規表現処理の脆弱性を悪用したサービス拒否攻撃の一種である。主な特徴として、以下のような点が挙げられる。

• 正規表現パターンの処理に過度な時間を要する
• システムリソースを大量に消費する
• アプリケーションの応答性を著しく低下させる

REXMLの脆弱性では、16進数文字参照の解析処理において非効率な正規表現パターンが使用されており、攻撃者が特殊な入力を行うことでサービス拒否状態を引き起こす可能性がある。この問題は正規表現エンジンのバックトラッキング処理が指数関数的に増加することで発生する。

REXMLの脆弱性に関する考察

REXMLの脆弱性対応において、開発チームが迅速にパッチを提供したことは評価に値する。特にRuby 3.2以降のバージョンでは既に対策が施されており、セキュリティを重視した設計思想が表れている。ただし、Ruby 3.1系列の広範な利用を考慮すると、影響を受けるシステムの数は決して少なくないと予想される。

今後の課題として、XMLパーサーの実装における正規表現の最適化が挙げられる。特に文字参照の処理など、複雑な構文解析を必要とする部分については、より効率的なアルゴリズムの採用を検討する必要がある。また、セキュリティテストの強化により、同様の脆弱性を早期に発見できる体制作りも重要だろう。

REXMLの開発においては、パフォーマンスとセキュリティのバランスを取りつつ、より堅牢な実装を目指すことが求められる。特にRubyのエコシステムにおいて重要な位置を占めるライブラリとして、継続的なセキュリティ強化と機能改善が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49761, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「プログラミング」に関するコラム一覧「プログラミング」に関するニュース一覧