You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年(RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記)と同様にRuby関連で今年見つけた脆弱性の話です。 Ruby CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性 hackerone.com 脆弱性なのか判断に迷うもの。 引数が.sendにそのまま渡されるので値によってはコードが実行できるものでした。 .sendを使って実際に攻撃できるパターンが有るのか、Rubyのコードの中を調べて見つけた覚えがあります。 CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性 hackerone.com またNul文字。さすがにRubyではもうNul文字の問題はないのではないでしょうか。多分。 Pathna
Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部 2019-08-21 12:59 RubyGemsパッケージリポジトリのメンテナーは、11のRubyライブラリから、バックドアが仕込まれた18のバージョンを削除した。 これらの悪質なコードは、米国時間8月19日に極めて人気の高いRubyライブラリである「rest-client」の4つのバージョンで最初に発見された。 オランダ人Ruby開発者であるJan Dintel氏の分析によれば、rest-clientで発見された悪質なコードは、侵害されたシステムからURLと環境変数の内容を収集し、ウクライナにあるサーバーに送信していた。 また、このコードにはバックドアが仕込まれており、攻撃者が侵害されたプロジェクトにクッキーファイルを送り込むことで、任意のコードを実行できるようになっていた。 その後、Ru
Rails 5.2からRails SQL Injection ExamplesにあるようなSQLインジェクションを防ぐ仕組みが導入されて、Post.order(params[:order])みたいなコードは心温まる正規表現によるチェックをパスしないと危険とみなされるようになって、お前が安全やと思うんやったらPost.order(Arel.sql(params[:order]))しろってことになった(rails/rails#27947)。 これはRails 5.0のときにparamsがHashのサブクラスじゃなくなったときに比べればマシだけど、明らか安全やと思ってるリテラルもRailsに危険とみなされて既存のアプリケーションによったら非常にわずらわしい。たとえばDiscourseというRailsアプリは5.2に上げるときにこれの影響をモロに受けるんやけどっていうお気持ちを表明しています(ra
こんにちは。Rubyコミッターのusaです。 なんかRuby の 最新 リリースと一緒に、脆弱性 情報 が いっぱい 公開 されましたね。うわー、なんかよくわかんないけど、やばそうですね!正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に本音を語っていこうと思います。 CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について うまく利用するのは難しいとは思いますが、使いようによっては利用者(WEBrickで作って公開したサイトを訪問した人)をひどいめにあわせることができるかもしれない脆弱性です。 でも、WEBrickで作ったサイトをプロダクションで公開してる人なんているわけないよねははは。 CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS
HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ 過去、HashDosの影響を受けたRuby。言語開発者はいかにしてこうした問題に対応してきたのでしょうか。コミッターである卜部氏の貴重な記録を公開します。 2011年の末頃、HashDoSという脆弱性が公表され、Rubyもこの影響を受けた。本稿の筆者である卜部昌平(うらべ・しょうへい/@shyouhei/以下、卜部)は、報告当初からRuby側のチームメンバーとしてプログラム本体の修正を担当した。以下はその記録である。言語開発者たちが普段どのようなことを考え、どういった技術を用いて開発やバグフィックスを行っているのか。その概要を知ってもらえれば幸いだ。 オブジェクト指向スクリプト言語 Ruby HashDoSの概要 なぜ約6年後の今、修正内容を公開するに至ったか? 前史:すでに内包されていたリスク
_ ファイルオープンの罠 僕が書いたNet::FTPのコードに脆弱性報告があり、修正版がリリースされた。関係者のみなさん、ありがとうございました。 CVE-2017-17405: Net::FTP におけるコマンドインジェクションの脆弱性について 問題があったのは以下のようなコードだった。 def getbinaryfile(remotefile, localfile = File.basename(remotefile), blocksize = DEFAULT_BLOCKSIZE, &block) # :yield: data f = nil result = nil if localfile if @resume rest_offset = File.size?(localfile) f = open(localfile, "a") else rest_offset = nil f
Posted by usa on 29 Aug 2017 Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。 RubyGems の公式ブログにて報告されています。 詳細 以下の脆弱性が報告されています。 a DNS request hijacking vulnerability. (CVE-2017-0902) an ANSI escape sequence vulnerability. (CVE-2017-0899) a DoS vulnerability in the query command. (CVE-2017-0900) a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files. (CVE-2017-0901
Posted by usa on 27 Oct 2014 Translated by usa Ruby 2.1.4、Ruby 2.0.0-p594、Ruby 1.9.3-p550 において、ext/openssl のデフォルト設定が従来のものから変更されています。 今回の変更により、安全でない SSL/TLS オプションがデフォルトで無効化されるようになりましたが、これに伴い、利用状況によっては SSL 接続に際して問題が生じる可能性があります。 詳細 OpenSSL には、現在では安全ではないとみなされるプロトコルや暗号方式などが、歴史的事情により依然として実装されています。 最近話題となった POODLE 脆弱性 (CVE-2014-3566) に見られるように、これらの安全ではない機能を有効にしたままで OpenSSL を利用し続けた場合、攻撃者によって通信を傍受されるおそれがありま
ぷーどる君まじ……、SSLv3まーじ。 SSLv3 にまつわる CVE-2014-3566 ( POODLE ) まわり IE6 はデフォルトで ( SSLv2 もかな? ) SSLv3 を使う設定になっており、TLSv1 にはチェックが入ってないはずなので、SSLv3 を無効化したサーバ、もしくは Ruby 2.1.4 Ruby 2.0.0-p594 Ruby 1.9.3-p550 以降のバージョンを利用する場合、直接 https で通信するサーバは明示的に回避策を仕込まない限り、デフォルト設定の IE6 環境からアクセスできなくなる。 どうしても通信したければ、パッチを仕込んで回避するか Pound のようなリバースプロキシで SSL を受けてやって、サーバ内部の通信は http で実施するとかにしたほうがいいやもしれぬがそれは結局いみなくね?要検証。 参考:ext/openssl の
Posted by hone and zzak on 29 Mar 2014 There is an overflow in URI escape parsing of YAML in Ruby. This vulnerability has been assigned the CVE identifier CVE-2014-2525. Details Any time a string in YAML with tags is parsed, a specially crafted string can cause a heap overflow which can lead to arbitrary code execution. For example: YAML.load <code_from_unknown_source> Affected Versions Ruby 1.9.3
a2ikm/rack-dynamic_session_secure RailsのセッションストアではRack::Session::Abstract::IDに渡される:secureオプションの値によってCookieのsecure属性を付けたり外したりできるんだけど、基本的にベタの値*1しか受け付けていない。 これをリクエストによって切り替えられると嬉しい場面が出てきたので、Procを渡して動的に評価されるよう書いてみた。Railsだとこんな感じ: # Gemfile gem 'rack-dynamic_session_secure', github: 'a2ikm/rack-dynamic_session_secure' # config/initializers/session_store.rb secure = ->(env) { !!(Rack::Request.new(env).pa
Posted by nahi on 27 Jun 2013 Translated by hsbt Ruby の SSL クライアントに信頼された証明書を用いて認証されたサーバーになりすまして 中間者攻撃を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-4073 として CVE に登録されています。 脆弱性の概要 Rubyの SSL クライアントはホストネームが一意であることをチェックする機構を持っていますが、 その機構は null バイト文字が含まれている証明書のホストネームを適切に処理することができません。 脆弱性の詳細 Ruby の SSL クライアントは OpenSSL::SSL.verify_certificate_identity に RFC2818 の サーバー一意性チェックを実装していますが、 null バイト文字を含んだ X509 の subjectAl
Posted by usa on 9 Nov 2012 ruby 1.9 系列で使用しているハッシュ関数について、ハッシュ飽和攻撃によってサービスを停止させることができる脆弱性が報告されました。 この脆弱性は 1.8.7 に対して公表された CVE-2011-4815 とは異なるものです。 全ての ruby 1.9 ユーザーは、この問題に対するセキュリティフィックスが含まれた ruby-1.9.3 patchlevel 327 に更新することが推奨されます。 影響 綿密に構築された文字列の並びをサーバーに対して送信することにより、そのサーバーがこの文字列の並びを文字列をキーとした Hash オブジェクトの生成に利用する場合、サービス停止攻撃が成立します。 例えば、信頼できない送信元から送られた JSON データを解釈する Web アプリケーションなどがこの脆弱性の影響を受けます。 詳細 こ
Posted by Shugo Maeda on 18 Feb 2011 symlink race condition 脆弱性がFileUtils.remove_entry_secureに発見されました。この脆弱性によって、ローカルユーザが任意のファイルやディレクトリを削除可能です。 影響のあるバージョン Ruby 1.8.6 patchlevel 420 以前のバージョン Ruby 1.8.7 patchlevel 330 以前のバージョン Ruby 1.8の開発バージョン (1.8.8dev) Ruby 1.9.1 patchlevel 430 以前のバージョン Ruby 1.9.2 patchlevel 136 以前のバージョン Ruby 1.9の開発バージョン (1.9.3dev) 解決策 この脆弱性の影響を受けるすべてのユーザは、修正されたバージョンにアップグレードしてください。
JVN#30414126 Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く