• Twitterでシェア
  • Facebookでシェア

Rails の CVE-2019-5418 は RCE (Remote code execution) です

テクノロジー カテゴリーの変更を依頼 記事元:gist.github.com/mala
適切な情報に変更
266 usersがブックマーク コメント27
    共有

    • 記事へのコメント27

    • 注目コメント
    • 新着コメント
    その他
    megamouth
    megamouth railsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

    2019/03/22 リンク

    その他
    softstone
    softstone 血を吐くようなalert。みんなちゃんとmalaと向き合え。

    2019/03/21 リンク

    その他
    tohokuaiki
    tohokuaiki OSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

    2019/03/22 リンク

    その他
    programmablekinoko
    programmablekinoko 最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる / https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

    2019/03/22 リンク

    その他
    niconegoto
    niconegoto いつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

    2019/03/22 リンク

    その他
    h5y1m141
    h5y1m141 CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ(ちなみに自分はそんなに影響ないと当初勘違いしてた)

    2019/03/22 リンク

    その他
    karikari1255
    karikari1255 ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

    2019/03/22 リンク

    その他
    sora_h
    sora_h “今回の Rails の Advisory は実際に書き方が悪い” はわりとほんとうにそう

    2019/03/22 リンク

    その他
    teracy_junk
    teracy_junk 『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

    2019/03/22 リンク

    その他
    yatmsu
    yatmsu アーロンがいる

    2019/03/25 リンク

    その他
    yatmsu
    yatmsu アーロンがいる

    2019/03/25 リンク

    その他
    mkusunok
    mkusunok RCEできてしまうのか。Railsをミッションクリティカルなところで使ってる人たちは多い。仮想通貨交換業者なんかも含めて素早い対応に期待したい

    2019/03/24 リンク

    その他
    makky55makky55
    makky55makky55 今回の脆弱性の一番大事なところは、secret が漏れると、セッションをcookie storeにしている場合にオブジェクトのデシリアライズ時に中身が改竄できてしまいリモートコード実行ができてしまうこと、と理解した

    2019/03/23 リンク

    その他
    niconegoto
    niconegoto いつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

    2019/03/22 リンク

    その他
    hirorock
    hirorock malaさん

    2019/03/22 リンク

    その他
    spam_lover
    spam_lover この画像本人と思ってる奴いそう

    2019/03/22 リンク

    その他
    rryu
    rryu この場合はCVE-2019-5420潜在的なRCEではなくしてCVE-2019-5418と合わせると大変まずいという説明を入れるべきだと思う。全体を把握している人がいないと難しいが…

    2019/03/22 リンク

    その他
    sho
    sho 危険性に同意。とはいえ複数の脆弱性の組み合わせ技を適切にアナウンスするのはけっこう難しいよなぁ

    2019/03/22 リンク

    その他
    KoshianX
    KoshianX むう、これは危ないなあ。警告内容を過少にすることがどれほど危険を遠ざけるのかエビデンスがあるならわかるのだが……そのへんどうなんですかね。

    2019/03/22 リンク

    その他
    dorje2009
    dorje2009 大事なことが書かれている

    2019/03/22 リンク

    その他
    sinsinchang
    sinsinchang 確かにうちは対策したらいいやって方は多い

    2019/03/22 リンク

    その他
    buhoho
    buhoho til /proc/self/environ

    2019/03/22 リンク

    その他
    ionis
    ionis うへー。DoSだと思ってスルーしてたわ(

    2019/03/22 リンク

    その他
    versatile
    versatile コミュニティの成熟性との関連 / 新しいフレームワークは本番で使う気ないけど rails ほどであればもっとこのへん大丈夫だろうっていう思い込みがあった

    2019/03/22 リンク

    その他
    kouyan_h
    kouyan_h こういう脆弱性がどんな影響を及ぼすか分かってない人も多そうだけど、割と大ごとだから対策はしといた方がよさそ(再現して確認してないけど)

    2019/03/22 リンク

    その他
    teracy_junk
    teracy_junk 『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

    2019/03/22 リンク

    その他
    karikari1255
    karikari1255 ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

    2019/03/22 リンク

    その他
    masatomo-m
    masatomo-m "File Content Disclosure" は確かに聞きなれない単語でディレクトリトラバーサルのことを書き換えた意味なのかなくらいに思っていたが、確かにRailsみたいなsecrets.ymlの置き場所が推測可能なフレームワークだと色々まずいな

    2019/03/22 リンク

    その他
    mattn
    mattn あかんやつや

    2019/03/22 リンク

    その他
    h5y1m141
    h5y1m141 CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ(ちなみに自分はそんなに影響ないと当初勘違いしてた)

    2019/03/22 リンク

    その他
    tohokuaiki
    tohokuaiki OSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

    2019/03/22 リンク

    その他
    megamouth
    megamouth railsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

    2019/03/22 リンク

    その他
    programmablekinoko
    programmablekinoko 最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる / https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

    2019/03/22 リンク

    その他
    uehaj
    uehaj 「secretを環境変数に入れるという作法もある。しかし、その場合でも linux上であれば /proc/self/environ を読み取ることで環境変数に書かれた secret を読み取ることが出来る」

    2019/03/22 リンク

    その他
    sora_h
    sora_h “今回の Rails の Advisory は実際に書き方が悪い” はわりとほんとうにそう

    2019/03/22 リンク

    その他
    akira_nishii01
    akira_nishii01 “CVE-2019-5418”

    2019/03/22 リンク

    その他
    softstone
    softstone 血を吐くようなalert。みんなちゃんとmalaと向き合え。

    2019/03/21 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Rails の CVE-2019-5418 は RCE (Remote code execution) です

    CVE-2019-5418_is_RCE.md RailsCVE-2019-5418 は RCE (Remote code execution) です 2019-03-23 更...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.