「Ruby on Railsã€ã«è¤‡æ•°ã®è„†å¼±æ€§ã€å¯¾ç–を呼ã³ã‹ã‘(JVN) | ScanNetSecurity
Ruby on Railsã®find_by_*メソッドã«SQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩ã®æ—¥è¨˜
Ruby on Rails(3.2.9, 3.1.8, 3.0.17以å‰)ã®find_by_*メソッドã«SQLインジェクション脆弱性ãŒè¦‹ã¤ã‹ã‚Šã¾ã—ãŸ(CVE-2012-5664)。ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯ãã®æ¦‚è¦ã¨å¯¾ç–ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ æ¦‚è¦ Ruby on Railsã®find_by_*メソッドã®å¼•æ•°ã¨ã—ã¦ãƒãƒƒã‚·ãƒ¥ã‚’指定ã™ã‚‹ã“ã¨ã§ã€ä»»æ„ã®SELECT文を実行ã§ãる脆弱性ãŒã‚ã‚Šã¾ã™ã€‚ 検証 Ruby on Rails3.2.9ã®ç’°å¢ƒã‚’用æ„ã—ã¦ã€ä»¥ä¸‹ã®2ã¤ã®ãƒ¢ãƒ‡ãƒ«ã‚’用æ„ã—ã¾ã—ãŸã€‚ $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserã¯å€‹äººæƒ…å ±ã‚’ä¿æŒã—ã¦ãŠã‚Šã€è‡ªåˆ†è‡ªèº«ã®æƒ…å ±ã®ã¿ãŒé–²è¦§ã§ãã‚‹ã¨ã„ã†æƒ³å®šã§ã™ã€‚モデルBookã¯æ›¸èªŒãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã§ã‚
潜むセã‚ュリティå•é¡Œã‚’事å‰ã«æš´ãã ã™Â·Rails Brakeman MOONGIFT
Rails Brakemanã¯Railsアプリケーションã®ãƒªãƒã‚¸ãƒˆãƒªã‚’èªã¿è¾¼ã‚“ã§ã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯ã—ã¦ãれるサービスã§ã™ã€‚ ã‚»ã‚ュアãªãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã‚’ã™ã‚‹ãŸã‚ã®ãƒŽã‚¦ãƒã‚¦ã¯å¹¾ã¤ã‹ã‚ã‚Šã¾ã™ã€‚ã¤ã¾ã‚Šãã‚Œã«æ²¿ã£ã¦ç¾çŠ¶ã®ã‚³ãƒ¼ãƒ‰ã‚’確èªã™ã‚Œã°ã€ä¸‡ä¸€ã®ã‚»ã‚ュリティインシデントを未然ã«é˜²ã’ã‚‹ã‹ã‚‚知れã¾ã›ã‚“。Railsアプリケーションã«ã¤ã„ã¦ãれを行ã†ã®ãŒRails Brakemanã§ã™ã€‚ プãƒã‚¸ã‚§ã‚¯ãƒˆè©³ç´°ã€‚ã“ã†ã‚„ã£ã¦ä¸€è¦§ã§ç¢ºèªã§ãã¾ã™ã€‚ ã‚»ã‚ュリティウォーニングã€ãƒ¢ãƒ‡ãƒ«ã€ãƒ“ューã®ã‚»ã‚ュリティウォーニングãŒå‡ºã¦ã„ã¾ã™ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング関係ã®ã‚¦ã‚©ãƒ¼ãƒ‹ãƒ³ã‚°ãŒå¤šã„ã§ã™ã€‚ クリックã™ã‚‹ã¨ã©ã®è¡Œã«ãŠã‘ã‚‹è¦å‘Šã‹ç¢ºèªã§ãã¾ã™ã€‚ Rails Brakemanã§ã¯ç›²ç›®çš„ã«ãƒ‘ラメータを放り込んã ã‚Šã€ãã®çµæžœã‚’ãã®ã¾ã¾ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã«ä½¿ã£ãŸã‚Šã™ã‚‹ã“ã¨ã‚’ç¦ã˜ã¦ã„ã¾ã™ã€‚ãªãŠã“ã®ãƒã‚§ãƒƒã‚¯ã¯ãƒã‚°ã‚’発見ã—ã¦ã„る訳ã§ã¯ãªãã€ã‚»ã‚
github ã® mass assignment 脆弱性ãŒçªã‹ã‚ŒãŸä»¶
Github ã«è„†å¼±æ€§ã€‚ã‚„ã£ãŸäººã¯ Rails ã«æœ‰ã‚ŠãŒã¡ãªè„†å¼±æ€§ã‚’ issue ã«æŒ™ã’ã¦ã„ãŸãŒç›¸æ‰‹ã«ã•ã‚Œãšã€å®Ÿéš›ã«ãれをçªã„ã¦ããŸã€‚一見 childish ã ãŒã€ãã‚Œã ã‘ç°¡å˜ã«è„†å¼±ãªå®Ÿè£…ãŒãªã•ã‚Œã¦ã—ã¾ã†ã¨ã„ã†ã“ã¨ã 。週明ã‘ã®ä»Šæ—¥ã€Rubyist ã¯ã¾ãšé–¢é€£æƒ…å ±ã«ä¸€èªã‚’。 — Yuki Nishijima (@yuki24) March 4, 2012 æ°—ã«ãªã£ã¦èª¿ã¹ãŸã®ã§ãƒ¡ãƒ¢ã€‚自分も気をã¤ã‘ãªã„ã¨ãªãƒ¼ã€‚ Public Key Security Vulnerability and Mitigation - github.com/blog/ github ã«è„†å¼±æ€§ãŒã‚ã£ã¦ãã‚ŒãŒçªã‹ã‚ŒãŸã‚‰ã—ã„。 Rails アプリã«ã‚ã‚ŠãŒã¡ãªè„†å¼±æ€§ã®ä¸€ã¤ã€Mass assignment ã¨ã‹ã„ã†ã‚¿ã‚¤ãƒ—ã®è„†å¼±æ€§ã§ã‚る。 mass assignment 脆弱性ã¨ã¯ mass assignment 脆弱性ã¨ã¯ä½•ã‹ã€
monoweb.info - ã“ã®ã‚¦ã‚§ãƒ–サイトã¯è²©å£²ç”¨ã§ã™ï¼Â - monoweb リソースãŠã‚ˆã³æƒ…å ±
ã“ã®ã‚¦ã‚§ãƒ–サイトã¯è²©å£²ç”¨ã§ã™ï¼ monoweb.info ã¯ã€ã‚ãªãŸãŒãŠæŽ¢ã—ã®æƒ…å ±ã®å…¨ã¦ã®æœ€æ–°ã‹ã¤æœ€é©ãªã‚½ãƒ¼ã‚¹ã§ã™ã€‚一般トピックã‹ã‚‰ã“ã“ã‹ã‚‰æ¤œç´¢ã§ãる内容ã¯ã€monoweb.infoãŒå…¨ã¦ã¨ãªã‚Šã¾ã™ã€‚ã‚ãªãŸãŒãŠæŽ¢ã—ã®å†…容ãŒè¦‹ã¤ã‹ã‚‹ã“ã¨ã‚’願ã£ã¦ã„ã¾ã™ï¼
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}