CVE-2017-8418は、RuboCop 0.48.1以前のバージョンに存在する権限昇格の脆弱性です。この脆弱性は、ローカルユーザが/tmpディレクトリを安全に使用しないために発生し、他のユーザのキャッシュファイルを改ざんすることを可能にします。影響を受けるバージョンは0.9.1以下ですが、0.49.0へのアップデートでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はRuboCopのキャッシュファイルを改ざんし、システム上で不正なコードを実行する可能性があります。これにより、攻撃者は機密情報を盗んだり、システムの制御を奪ったりする可能性があります。特に、複数のユーザが同じシステム上でRuboCopを使用している環境では、攻撃の影響範囲が広がる可能性があります。この脆弱性は、キャッシュファイルへのアクセス権限を悪用した権限昇格攻撃に繋がる可能性があります。
この脆弱性は、CISA KEVカタログには登録されていません。現時点で公的なPoCは確認されていませんが、/tmpディレクトリのアクセス権限を悪用した攻撃手法は広く知られており、将来的に悪用される可能性があります。NVDは2017年11月15日に公開されています。
エクスプロイト状況
EPSS
0.06% (20% パーセンタイル)
CVSS ベクトル
この脆弱性への最善の対応は、RuboCopを0.49.0以降のバージョンにアップデートすることです。アップデートがすぐに利用できない場合は、/tmpディレクトリへのアクセスを制限するなどの一時的な対策を講じることを検討してください。また、RuboCopのキャッシュディレクトリを他のユーザがアクセスできない場所に移動することも有効な対策となり得ます。アップデート後、RuboCopが正常に動作することを確認してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2017-8418は、RuboCop 0.48.1以前のバージョンにおける脆弱性で、ローカルユーザが/tmpディレクトリを安全に使用しないために、他のユーザのキャッシュファイルを改ざんできるものです。
RuboCopのバージョンが0.9.1以下の場合、影響を受けます。0.49.0以降のバージョンにアップデートすることで修正されます。
RuboCopを0.49.0以降のバージョンにアップデートしてください。アップデートがすぐに利用できない場合は、/tmpディレクトリへのアクセスを制限するなどの一時的な対策を講じてください。
現時点で公的なPoCは確認されていませんが、将来的に悪用される可能性があります。
NVDデータベースで確認できます: https://nvd.nist.gov/vuln/detail/CVE-2017-8418
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。