概要
Ruby の パスワード ハッシュ ライブラリ bcrypt-ruby の JRuby 実装 に おいて、整数 オーバーフロー(CWE-190)に より ハッシュ の イテレーション 回数 が 0回 に なる 脆弱性 が 存在 します。bcrypt は パスワード の 安全 な 保存 に 広く 使用 されて おり、イテレーション 0回 は 事実上 ハッシュ の 強度 が ない こと を 意味 します。
JRuby 環境 で bcrypt-ruby を 使用 して パスワード を ハッシュ して いる 場合、保存 済み の ハッシュ が 脆弱 な 状態 で ある 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-190(整数 オーバーフロー) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| bcrypt-ruby (JRuby) | 修正 コミット 以前 | GitHub コミット 参照 |
修正 バージョン と 回避策
- 修正 コミット を 含む バージョン に アップデート
- JRuby 環境 で bcrypt を 使用 して いる 場合、修正 後 に パスワード の 再 ハッシュ を 検討
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。