[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

266users がブックマーク コメント 27

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

Rails の CVE-2019-5418 は RCE (Remote code execution) です

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント27

  • 注目コメント
  • 新着コメント
megamouth
railsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

その他
softstone
血を吐くようなalert。みんなちゃんとmalaと向き合え。

その他
tohokuaiki
OSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

その他
programmablekinoko
最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる / https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

その他
niconegoto
いつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

その他
h5y1m141
CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ(ちなみに自分はそんなに影響ないと当初勘違いしてた)

その他
karikari1255
ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

その他
sora_h
"今回の Rails の Advisory は実際に書き方が悪い" はわりとほんとうにそう

その他
teracy_junk
『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

その他
yatmsu
アーロンがいる

その他
yatmsu
yatmsu アーロンがいる

2019年03月25日 リンク

その他
mkusunok
RCEできてしまうのか。Railsをミッションクリティカルなところで使ってる人たちは多い。仮想通貨交換業者なんかも含めて素早い対応に期待したい

その他
makky55makky55
今回の脆弱性の一番大事なところは、secret が漏れると、セッションをcookie storeにしている場合にオブジェクトのデシリアライズ時に中身が改竄できてしまいリモートコード実行ができてしまうこと、と理解した

その他
niconegoto
niconegoto いつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

2019年03月22日 リンク

その他
hirorock
malaさん

その他
spam_lover
この画像本人と思ってる奴いそう

その他
rryu
この場合はCVE-2019-5420潜在的なRCEではなくしてCVE-2019-5418と合わせると大変まずいという説明を入れるべきだと思う。全体を把握している人がいないと難しいが...

その他
sho
危険性に同意。とはいえ複数の脆弱性の組み合わせ技を適切にアナウンスするのはけっこう難しいよなぁ

その他
KoshianX
むう、これは危ないなあ。警告内容を過少にすることがどれほど危険を遠ざけるのかエビデンスがあるならわかるのだが......そのへんどうなんですかね。

その他
dorje2009
大事なことが書かれている

その他
sinsinchang
確かにうちは対策したらいいやって方は多い

その他
buhoho
til /proc/self/environ

その他
ionis
うへー。DoSだと思ってスルーしてたわ(

その他
versatile
コミュニティの成熟性との関連 / 新しいフレームワークは本番で使う気ないけど rails ほどであればもっとこのへん大丈夫だろうっていう思い込みがあった

その他
kouyan_h
こういう脆弱性がどんな影響を及ぼすか分かってない人も多そうだけど、割と大ごとだから対策はしといた方がよさそ(再現して確認してないけど)

その他
teracy_junk
teracy_junk 『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

2019年03月22日 リンク

その他
karikari1255
karikari1255 ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

2019年03月22日 リンク

その他
masatomo-m
"File Content Disclosure" は確かに聞きなれない単語でディレクトリトラバーサルのことを書き換えた意味なのかなくらいに思っていたが、確かにRailsみたいなsecrets.ymlの置き場所が推測可能なフレームワークだと色々まずいな

その他
mattn
あかんやつや

その他
h5y1m141
h5y1m141 CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ(ちなみに自分はそんなに影響ないと当初勘違いしてた)

2019年03月22日 リンク

その他
tohokuaiki
tohokuaiki OSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

2019年03月22日 リンク

その他
megamouth
megamouth railsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

2019年03月22日 リンク

その他
programmablekinoko
programmablekinoko 最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる / https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

2019年03月22日 リンク

その他
uehaj
「secretを環境変数に入れるという作法もある。しかし、その場合でも linux上であれば /proc/self/environ を読み取ることで環境変数に書かれた secret を読み取ることが出来る」

その他
sora_h
sora_h "今回の Rails の Advisory は実際に書き方が悪い" はわりとほんとうにそう

2019年03月22日 リンク

その他
akira_nishii01
"CVE-2019-5418"

その他
softstone
softstone 血を吐くようなalert。みんなちゃんとmalaと向き合え。

2019年03月21日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「Rails の CVE-2019...」が注目されています。

気持ちをシェアしよう

ツイートする

Rails の CVE-2019-5418 は RCE (Remote code execution) です

CVE-2019-5418_is_RCE.md RailsCVE-2019-5418 は RCE (Remote code execution) です 2019年03月23日 更... CVE-2019-5418_is_RCE.md RailsCVE-2019-5418 は RCE (Remote code execution) です 2019年03月23日 更新 Remote Code Executionとして、Advisoryが更新された。 https://groups.google.com/d/msg/rubyonrails-security/zRNVOUhKHrg/GmmcVXcmAAAJ Thanks to @sorah @tenderlove 前置き これは休日に書いた記事で所属している組織とは一切の関係がない。 概要 CVE-2019-5418 は実際のところ高確率でRCEなのだが File Content Disclosure という聞き慣れない名前で公表されて、CVE-2019-5419 で DoSが出来るという内容になっている やあ、脆弱性の開示方

ブックマークしたユーザー

  • techtech05212023年05月25日 techtech0521
  • mkusaka2019年12月31日 mkusaka
  • hitsujibane2019年08月12日 hitsujibane
  • ikasamak5032019年04月09日 ikasamak503
  • mjtai2019年03月29日 mjtai
  • sugumura2019年03月28日 sugumura
  • yatmsu2019年03月25日 yatmsu
  • suginoy2019年03月24日 suginoy
  • KGA2019年03月24日 KGA
  • gemini72019年03月24日 gemini7
  • J1382019年03月24日 J138
  • Untouchable2019年03月24日 Untouchable
  • mkusunok2019年03月24日 mkusunok
  • makky55makky552019年03月23日 makky55makky55
  • jewel122019年03月23日 jewel12
  • toshiharu_z2019年03月23日 toshiharu_z
  • sylph012019年03月23日 sylph01
  • tkmkg8m2019年03月22日 tkmkg8m
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /