CVE-2017-17742 [中] | Security Vulnerability（Ruby）

CVE-2017-17742 は中リスク（58/100）。CVSS 深刻度は中。悪用される可能性が高い（EPSS 5.76%、92 パーセンタイル） EPSS 上、短期間での悪用可能性は高い水準です。直近 1 日で EPSS が +4.61% 上昇。悪用への関心が高まっている可能性があります。悪用可能性が高いため、影響範囲の確認と修補の優先付けを推奨します。

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	1.15%	5.76%	+4.61%
2	2026-03-04	2.34%	1.15%	-1.19%
3	2026-03-01	—	2.34%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

1.15%

5.76%

+4.61%

2026-03-04

2.34%

1.15%

-1.19%

2026-03-01

—

2.34%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
5.3	3.0	MEDIUM	`CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:N) 機微情報の漏えいは想定しにくい。完全性への影響 (I:L) レコードの一部書き換えや設定の歪みなど、限定的だが検知・復旧が必要な水準。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。	3.9	1.4	[email protected]
5.0	2.0	MEDIUM	`AV:N/AC:L/Au:N/C:N/I:P/A:N` クリックして展開アクセス経路 (AV:N) ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。アクセスの複雑さ (AC:L) 手順が短く、再現性が高い。認証 (AU:N) 認証を経ずに攻撃を完結できる。機密性への影響 (C:N) 機密性は損なわれない。完全性への影響 (I:P) 完全性は部分的に損なわれる。可用性への影響 (A:N) 可用性は損なわれない。	10.0	2.9	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

5.3

3.0

MEDIUM

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N): 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N): メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:N): 機微情報の漏えいは想定しにくい。
完全性への影響 (I:L): レコードの一部書き換えや設定の歪みなど、限定的だが検知・復旧が必要な水準。
可用性への影響 (A:N): 業務継続に支障が出るレベルの停止や劣化は想定されない。

3.9

1.4

[email protected]

5.0

2.0

MEDIUM

AV:N/AC:L/Au:N/C:N/I:P/A:N クリックして展開

アクセス経路 (AV:N): ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。
アクセスの複雑さ (AC:L): 手順が短く、再現性が高い。
認証 (AU:N): 認証を経ずに攻撃を完結できる。
機密性への影響 (C:N): 機密性は損なわれない。
完全性への影響 (I:P): 完全性は部分的に損なわれる。
可用性への影響 (A:N): 可用性は損なわれない。

10.0

2.9

[email protected]

CVE-2017-17742 の OS トラッカー

vendor	priority	summary	link
`alpine`	—	CVE-2017-17742: 1 source package rows (ruby); 10 state rows across 10 repos (3.10-main, 3.11-main, 3.12-main, 3.17-main, 3.18-main, 3.19-main, 3.20-main, 3.21-main, 3.22-main, edge-main); fixed 10, open 0.	https://security.alpinelinux.org/vuln/CVE-2017-17742
`debian`	not yet assigned	CVE-2017-17742 not yet assigned priority: Debian including 1 source packages (jruby), 4 status rows across 4 suites (bookworm, forky, sid, trixie): resolved 4.	https://security-tracker.debian.org/tracker/CVE-2017-17742
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2017-17742
`suse`	low	CVE-2017-17742 severity low: SUSE including 299 source package names (2.17-17.3:libruby2_5-2_5-2.5.5-4.3.1, 2.17-17.3:ruby2.5-2.5.5-4.3.1, …), 999 product×package rows across 244 product lines (Container bci/ruby, Container suse/rmt-server, … (244 product lines)): Fixed 842, Known Affected 157.	https://www.suse.com/security/cve/CVE-2017-17742/
`ubuntu`	medium	CVE-2017-17742 medium priority: Ubuntu including 5 source packages (jruby, ruby1.9.1, ruby2.0, ruby2.3, ruby2.5), 85 status rows across 20 suites (artful, bionic, cosmic, disco, eoan, focal, groovy, hirsute, impish, jammy, kinetic, lunar, mantic, noble, oracular, plucky, questing, trusty, upstream, xenial): DNE 59, ignored 10, needs-triage 7, released 6, needed 3.	https://ubuntu.com/security/CVE-2017-17742

CVE-2017-17742 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
ruby-lang	ruby	>= 2.2.0, < 2.2.10	cpe:2.3:a:ruby-lang:ruby::::::::
ruby-lang	ruby	>= 2.3.0, < 2.3.7	cpe:2.3:a:ruby-lang:ruby::::::::
ruby-lang	ruby	>= 2.4.0, < 2.4.4	cpe:2.3:a:ruby-lang:ruby::::::::
ruby-lang	ruby	>= 2.5.0, < 2.5.1	cpe:2.3:a:ruby-lang:ruby::::::::
ruby-lang	ruby	2.6.0	cpe:2.3:a:ruby-lang:ruby:2.6.0:preview1::::::
debian	debian_linux	7.0	cpe:2.3:o:debian:debian_linux:7.0:::::::*

CVE-2017-17742 の参考情報

URL	タグ
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html
http://www.securityfocus.com/bid/103684	Third Party Advisory VDB Entry
http://www.securitytracker.com/id/1042004
https://access.redhat.com/errata/RHSA-2018:3729
https://access.redhat.com/errata/RHSA-2018:3730
https://access.redhat.com/errata/RHSA-2018:3731
https://access.redhat.com/errata/RHSA-2019:2028
https://lists.debian.org/debian-lts-announce/2018/04/msg00023.html	Third Party Advisory
https://lists.debian.org/debian-lts-announce/2018/04/msg00024.html	Third Party Advisory
https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
https://lists.debian.org/debian-lts-announce/2019/12/msg00009.html
https://lists.debian.org/debian-lts-announce/2020/08/msg00027.html
https://lists.debian.org/debian-lts-announce/2023/04/msg00033.html
https://usn.ubuntu.com/3685-1/
https://www.debian.org/security/2018/dsa-4259
https://www.ruby-lang.org/en/news/2018/03/28/http-response-splitting-in-webrick-cve-2017-17742/	Vendor Advisory
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-2-10-released/	Patch Release Notes
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-3-7-released/	Patch Release Notes
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-4-4-released/	Patch Release Notes
https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-5-1-released/	Patch Release Notes

URL

タグ

http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html

http://www.securityfocus.com/bid/103684

Third Party Advisory VDB Entry

http://www.securitytracker.com/id/1042004

https://access.redhat.com/errata/RHSA-2018:3729

https://access.redhat.com/errata/RHSA-2018:3730

https://access.redhat.com/errata/RHSA-2018:3731

https://access.redhat.com/errata/RHSA-2019:2028

https://lists.debian.org/debian-lts-announce/2018/04/msg00023.html

Third Party Advisory