テクノロジー
Rails の CVE-2019-5418 は RCE (Remote code execution) です

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Rails の CVE-2019-5418 は RCE (Remote code execution) です

テクノロジーカテゴリーの変更を依頼記事元:

gist.github.com/mala

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

266usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Rails の CVE-2019-5418 は RCE (Remote code execution) です

266 users

gist.github.com/mala

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント27件

注目コメント
新着コメント

megamouthrailsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

2019/03/22リンク

その他

softstone血を吐くようなalert。みんなちゃんとmalaと向き合え。

2019/03/21リンク

その他

tohokuaikiOSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

2019/03/22リンク

その他

programmablekinoko最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる /https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

2019/03/22リンク

その他

niconegotoいつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

2019/03/22リンク

その他

h5y1m141CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ（ちなみに自分はそんなに影響ないと当初勘違いしてた）

2019/03/22リンク

その他

karikari1255ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

2019/03/22リンク

その他

sora_h“今回の Rails の Advisory は実際に書き方が悪い” はわりとほんとうにそう

2019/03/22リンク

その他

teracy_junk『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

2019/03/22リンク

その他

yatmsuアーロンがいる

2019/03/25リンク

その他

yatmsuアーロンがいる

2019/03/25リンク

その他

mkusunokRCEできてしまうのか。Railsをミッションクリティカルなところで使ってる人たちは多い。仮想通貨交換業者なんかも含めて素早い対応に期待したい

2019/03/24リンク

その他

makky55makky55今回の脆弱性の一番大事なところは、secret が漏れると、セッションをcookie storeにしている場合にオブジェクトのデシリアライズ時に中身が改竄できてしまいリモートコード実行ができてしまうこと、と理解した

2019/03/23リンク

その他

niconegotoいつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

2019/03/22リンク

その他

hirorockmalaさん

2019/03/22リンク

その他

spam_loverこの画像本人と思ってる奴いそう

2019/03/22リンク

その他

rryuこの場合はCVE-2019-5420潜在的なRCEではなくしてCVE-2019-5418と合わせると大変まずいという説明を入れるべきだと思う。全体を把握している人がいないと難しいが…

2019/03/22リンク

その他

sho危険性に同意。とはいえ複数の脆弱性の組み合わせ技を適切にアナウンスするのはけっこう難しいよなぁ

2019/03/22リンク

その他

KoshianXむう、これは危ないなあ。警告内容を過少にすることがどれほど危険を遠ざけるのかエビデンスがあるならわかるのだが……そのへんどうなんですかね。

2019/03/22リンク

その他

dorje2009大事なことが書かれている

2019/03/22リンク

その他

sinsinchang確かにうちは対策したらいいやって方は多い

2019/03/22リンク

その他

buhohotil /proc/self/environ

2019/03/22リンク

その他

ionisうへー。DoSだと思ってスルーしてたわ（

2019/03/22リンク

その他

versatileコミュニティの成熟性との関連 / 新しいフレームワークは本番で使う気ないけど rails ほどであればもっとこのへん大丈夫だろうっていう思い込みがあった

2019/03/22リンク

その他

kouyan_hこういう脆弱性がどんな影響を及ぼすか分かってない人も多そうだけど、割と大ごとだから対策はしといた方がよさそ（再現して確認してないけど）

2019/03/22リンク

その他

2019/03/22リンク

その他

2019/03/22リンク

その他

masatomo-m"File Content Disclosure" は確かに聞きなれない単語でディレクトリトラバーサルのことを書き換えた意味なのかなくらいに思っていたが、確かにRailsみたいなsecrets.ymlの置き場所が推測可能なフレームワークだと色々まずいな

2019/03/22リンク

その他

mattnあかんやつや

その他

その他

その他

その他

その他

uehaj「secretを環境変数に入れるという作法もある。しかし、その場合でも linux上であれば /proc/self/environ を読み取ることで環境変数に書かれた secret を読み取ることが出来る」

2019/03/22リンク

その他

sora_h“今回の Rails の Advisory は実際に書き方が悪い” はわりとほんとうにそう

2019/03/22リンク

その他

akira_nishii01“CVE-2019-5418”

2019/03/22リンク

その他

softstone血を吐くようなalert。みんなちゃんとmalaと向き合え。

2019/03/21リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Rails の CVE-2019...」が注目されています。

気持ちをシェアしよう

ツイートする

Rails の CVE-2019-5418 は RCE (Remote code execution) です

CVE-2019-5418_is_RCE.mdRails のCVE-2019-5418 は RCE (Remote code execution) です 2019-03-23 更...CVE-2019-5418_is_RCE.mdRails のCVE-2019-5418 は RCE (Remote code execution) です 2019-03-23 更新 Remote Code Executionとして、Advisoryが更新された。 https://groups.google.com/d/msg/rubyonrails-security/zRNVOUhKHrg/GmmcVXcmAAAJ Thanks to @sorah @tenderlove 前置きこれは休日に書いた記事で所属している組織とは一切の関係がない。概要CVE-2019-5418 は実際のところ高確率でRCEなのだが File Content Disclosure という聞き慣れない名前で公表されて、CVE-2019-5419 で DoSが出来るという内容になっているやあ、脆弱性の開示方