弁財天: Ruby on Railsはフレームワークなので脆弱性が発見されても容易にバージョンアップはできない。そしてスマホのアプリの為のAPI公開でさらに脆弱になった。update4

« コインチェックを「カス中のカス」呼ばわり... | メイン | 2017年7月24日夏休みの朝に中学校の... »

Ruby on Railsはフレームワークなので脆弱性が発見されても容易にバージョンアップはできない。そしてスマホのアプリの為のAPI公開でさらに脆弱になった。update4

→島根県産のルビー(Ruby)実装のコインチェックが５８０億円の脱線(Rails)事故を起こすw。
からRuby on Rails脆弱性への対応を切り出し。

New blogpost:
Ruby on Rails 脆弱性解説 - CVE-2016-0752（前編） - DARK MATTERhttps://t.co/aZ8ODAUEqN
— Cyberdefense Inst. (@cyberdefense_jp) 2016年8月5日

RubyOnRailsをやっている人がかわいそうだ。いつまでも脆弱性やアップグレードのたびにシステムを保守していかなければならないのだから https://t.co/BzRaHrW9ia 356
— app (@app86161956) 2016年12月30日

＠joker1007→Railsをバージョンアップし続けるために必要なこと(2014年08月28日)

テストを書く
まず第一に、何はなくてもテストコードが必要です。もしテストコードが全く無いならば、Railsのバージョンを上げるのはほぼ不可能です。
現在テストコードが無いプロジェクトなら、もう頑張って書くしか方法は無いのですが、それは非常に辛い……。

これですな。致命的な脆弱性が報告されて、Ruby on Railsの新しいバージョンが公開されても、 Ruby on Railsは言語ではなくフレームワーク(F/W)なので、バージョンアップするとシステム全体の再テストが必要になる。コインチェックの開発部隊がテストコードまでメンテしていたとは思えない。コストを考えるとバージョンアップなどできない。よって脆弱性は致命的なまま放置された。
脆弱性を放置したままAPI(Webサービス)をネット公開してスマホのアプリまで開発してしまった。たぶん何でもできる状態だったのだろうw。

https://t.co/x7lP2ckJ7Q
コインチェックはRubyでシステム作ってて、外部からAPIでアクセスしていた

今回出勤記録が残っているという事なので、GUIもしくはAPIに脆弱性があった可能性はある
— からかい上手のﾌﾐﾀｶさん (@m1fumi) 2018年1月29日

【セキュリティがテーマ】OSSの診断ツールを使ってRuby on Rails製Webアプリに脆弱性診断を行う方法と、フレームワークが対策しているorしていない脆弱性について書きます。

技術書典4にサークル「Webサービス作り隊」として参加申込をしました！ | 技術書典 https://t.co/vXhf452Ps0
— カレーイベントポータル (@curryevent) 2018年1月8日

安易にAPIをWebサービスにして公開すべきじゃない。とくにおカネの送金に関することなら。

RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した | TechCrunch Japan https://t.co/dhImBgSo6Y @jptechcrunchさんから
— てるてる (@teruteru128) 2017年10月8日

「その脆弱性を見つけたのはBrian Masterbrookだ。彼はTwitterでいくつかのUnicode文字を調べてみて脆弱性を発見し、おなじことをBasecampでもやってみてやはり脆弱であることを確認したので、これはRubyOnRailsの問題に間違いないと考えた。」
えぇ？Unicode文字に脆弱性だってw
しかもそれを指摘したサイトが消えてるし。

IPA

2017年11月13日12時07分03秒 RubyGems における信頼性のないデータのデシリアライゼーションに関する脆弱性 https://t.co/n8VLRLle6D
2017年11月07日12時28分04秒 Ruby http gem における情報漏えいに関する脆弱性 https://t.co/rPllipdggB
2017年07月22日17時46分04秒 Ruby 用 mail gem における SMTP コマンドインジェクションの脆弱性 https://t.co/TDasJCr7hX
2017年07月19日17時39分37秒 Ruby の Net::SMTP における SMTP コマンドインジェクションの脆弱性 https://t.co/fsK0twaFEP
2017年06月26日12時31分07秒 Ruby の Oniguruma-mod および PHP の mbstring で使用される Oniguruma における境界外書き込みに関する脆弱性 https://t.co/b8LTerNnuw
2017年06月26日12時31分07秒 Ruby の Oniguruma-mod および PHP の mbstring で使用される Oniguruma における NULL ポインタデリファレンスに関する脆弱性 https://t.co/JaM7D54L5P
2017年05月29日12時12分37秒 Ruby 用 aescrypt gem における暗号保護メカニズムを破られる脆弱性 https://t.co/02fSGQ9Xal
2017年05月10日12時23分37秒 Ruby で使用される正規表現ライブラリ Onigmo の regparse.c の parse_char_class 関数におけるサービス運用妨害 (DoS) の脆弱性 https://t.co/xWjJwdTzMM

Ruby on Rails の Action View におけるクロスサイトスクリプティングの脆弱性 https://t.co/qthdDri2JN
— IPA （JVNiPedia） (@JVNiPedia) 2016年9月10日

Ruby on Rails の Action Pack の actionpack/lib/action_dispatch/http/mime_type.rb におけるサービス運用妨害 (DoS) の脆弱性 https://t.co/SluoA4fg4u
— IPA （JVNiPedia） (@JVNiPedia) 2016年3月22日

Ruby on Rails の Active Model における検証手順を回避される脆弱性 https://t.co/5BjQMGDC72
— IPA （JVNiPedia） (@JVNiPedia) 2016年3月12日

Ruby on Rails の Active Record の activerecord/lib/active_record/nested_attributes.rb における変更制限を回避される脆弱性 https://t.co/iFQXH5Jfes
— IPA （JVNiPedia） (@JVNiPedia) 2016年3月15日

Ruby on Rails の Action Controller の Basic 認証の実装における認証を回避される脆弱性 https://t.co/hJnVUhvdix
— IPA （JVNiPedia） (@JVNiPedia) 2016年3月15日

Ruby on Rails で使用される jquery-rails の jquery_ujs.js および jquery-ujs の rails.js における同一生成元ポリシーを回避される脆弱性 http://t.co/Rjrw7AiilL
— IPA （JVNiPedia） (@JVNiPedia) 2015年7月29日

Ruby on Rails などの製品で使用される Rack の lib/rack/utils.rb におけるサービス運用妨害 (DoS) の脆弱性 http://t.co/XZkME3weJQ
— IPA （JVNiPedia） (@JVNiPedia) 2015年7月29日

Ruby on Rails の Active Support の jdom.rb および rexml.rb コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性 http://t.co/vwXyWIoozb
— IPA （JVNiPedia） (@JVNiPedia) 2015年7月29日

Ruby on Rails で使用される Web Console の request.rb における whitelisted_ips 保護メカニズムを回避される脆弱性 http://t.co/Q7zZV6LHpO
— IPA （JVNiPedia） (@JVNiPedia) 2015年7月29日

Ruby on Rails の Action Pack の actionpack/lib/action_dispatch/middleware/static.rb におけるディレクトリトラバーサルの脆弱性 http://t.co/xfthih8o5J
— IPA （JVNiPedia） (@JVNiPedia) 2014年11月11日

Ruby on Rails に同梱されている Sprockets の server.rb におけるディレクトリトラバーサルの脆弱性 http://t.co/u5m46yScmk
— IPA （JVNiPedia） (@JVNiPedia) 2014年11月11日

Ruby on Rails の Active Record における強力なパラメータ保護メカニズムを回避される脆弱性 http://t.co/rm2E7RADrD
— IPA （JVNiPedia） (@JVNiPedia) 2014年8月22日

Ruby on Rails の implicit-render の実装におけるディレクトリトラバーサルの脆弱性 http://t.co/Q3UstJ1RIT
— IPA （JVNiPedia） (@JVNiPedia) 2014年5月8日

Ruby on Rails の Active Record における SQL インジェクションの脆弱性 http://t.co/GpZY7AXIRz
— IPA （JVNiPedia） (@JVNiPedia) 2014年2月21日

CloudForms Management Engine における Ruby on Rails の protect_from_forgery メカニズムを回避される脆弱性 http://t.co/q6AGZSNmhR
— IPA （JVNiPedia） (@JVNiPedia) 2014年1月27日

Ruby on Rails の actionpack/lib/action_dispatch/http/request.rb におけるデータベースクエリの制限を回避される脆弱性 http://t.co/Sc18I0V3Ad
— IPA （JVNiPedia） (@JVNiPedia) 2013年12月10日

Ruby on Rails の actionpack/lib/action_view/helpers/number_helper.rb におけるクロスサイトスクリプティングの脆弱性 http://t.co/nUuJhFhKge
— IPA （JVNiPedia） (@JVNiPedia) 2013年12月10日

Ruby on Rails の internationalization コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/pGCbRp8vaC
— IPA （JVNiPedia） (@JVNiPedia) 2013年12月10日

Ruby on Rails の Action Mailer の log subscriber コンポーネントにおけるフォーマットストリングの脆弱性 http://t.co/B6JBk3ZBr3
— IPA （JVNiPedia） (@JVNiPedia) 2013年10月21日

Ruby on Rails の Active Record コンポーネントにおけるデータ型インジェクション攻撃を実行される脆弱性 http://t.co/3AjDEq8W1s
— IPA （JVNiPedia） (@JVNiPedia) 2013年4月24日

Ruby on Rails の Action Pack コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/WovdsHyq1c
— IPA （JVNiPedia） (@JVNiPedia) 2013年3月22日

Ruby on Rails の Active Support コンポーネントにおける任意のファイルを読まれる脆弱性 http://t.co/R9AhwzTfp3
— IPA （JVNiPedia） (@JVNiPedia) 2013年3月22日

JVNDB-2013-001554: Ruby on Rails の ActiveRecord におけるサービス運用妨害 (DoS) の脆弱性 http://t.co/qAtKNERh
— IPA （JVNiPedia） (@JVNiPedia) 2013年2月15日

JVNDB-2013-001553: Ruby on Rails の ActiveRecord における attr_protected 保護メカニズムを回... http://t.co/aT5ZorBc
— IPA （JVNiPedia） (@JVNiPedia) 2013年2月15日

JVNDB-2013-001320: Ruby on Rails における任意のコードを実行される脆弱性 http://t.co/agdfgIxo
— IPA （JVNiPedia） (@JVNiPedia) 2013年1月31日

「遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があります」 / JVNVU#94771138: Ruby on Railsに複数の脆弱性 http://t.co/NASjkgig
— kntmr (@knt_mr) 2013年1月10日

コインチェック社が設立されたのは2012年8月28日。
遠隔コードの脆弱性を指摘されたのは2013年1月10日。
580億円分のNEMが強奪されたサイバー攻撃は2018年1月26日。
５年かぁ。５年もあれば580億円をブッコ抜くコードの開発はじゅうぶん可能だわな。

JVNDB-2012-005811: Ruby on Rails 用 Authlogic gem における SQL インジェクションの脆弱性 http://t.co/uBLh1wSY
— IPA （JVNiPedia） (@JVNiPedia) 2012年12月28日

JVNDB-2012-003531: Ruby on Rails の strip_tags ヘルパーにおけるクロスサイトスクリプティングの脆弱性 http://t.co/3H04sgIE
— IPA （JVNiPedia） (@JVNiPedia) 2012年8月13日

JVNDB-2012-002861: Ruby on Rails におけるデータベースのクエリ制限を回避される脆弱性 http://t.co/foNgIIgH
— IPA （JVNiPedia） (@JVNiPedia) 2012年6月26日

JVNDB-2012-002862: Ruby on Rails の Active Record コンポーネントにおける SQL インジェクションの脆弱性 http://t.co/NXq4FAOX
— IPA （JVNiPedia） (@JVNiPedia) 2012年6月26日

SQLインジェクションw

JVNDB-2012-001737: Ruby on Rails の select helper におけるクロスサイトスクリプティングの脆弱性 http://t.co/m0Ycl4QP
— IPA （JVNiPedia） (@JVNiPedia) 2012年3月14日

JVNDB-2011-003101: Ruby on Rails におけるクロスサイトスクリプティングの脆弱性 http://t.co/IVuoHpAq
— IPA （JVNiPedia） (@JVNiPedia) 2011年11月29日

元記事読みましたが、『ログアウト後であっても暗号化Cookieを送信してなりすましできる』の『ログアウト後であっても』を省略して変になったようですね Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 http://t.co/ySODCqL7vc
— 徳丸浩 (@ockeghem) 2013年12月2日

［エンタープライズ］Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 http://t.co/QJJKfZ0snP
— ITmedia (@itmedia) 2013年11月26日

あらら。開発部隊が既に解散してて脆弱性の放置状態かぁ。

「Linuxサーバ」＋「Ruby on Rails」環境への攻撃が確認されました

ブログ更新：
Ruby on Rails の脆弱性を利用するLinuxサーバへの攻撃を確認。Deep Securityで既に対応済http://t.co/49OeNJcIuI
— トレンドマイクロ (@trendmicro_jp) 2013年6月3日

［エンタープライズ］脆弱性放置のRuby on Railsが標的に、Webサーバを狙うボット攻撃が横行 http://t.co/ENXpb9r1t8
— ITmedia (@itmedia) 2013年5月29日

Ruby on Rails の Active Record コンポーネントにおけるデータ型インジェクション攻撃を実行される脆弱性 http://t.co/3AjDEq8W1s
— IPA （JVNiPedia） (@JVNiPedia) 2013年4月24日

Ruby on Rails の Action Pack コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/WovdsHyq1c
— IPA （JVNiPedia） (@JVNiPedia) 2013年3月22日

Ruby on Rails の Active Support コンポーネントにおける任意のファイルを読まれる脆弱性 http://t.co/R9AhwzTfp3
— IPA （JVNiPedia） (@JVNiPedia) 2013年3月22日

【Web記事掲載】Ruby on Railsで任意のRubyコードが実行される脆弱性の検証レポート（NTTデータ先端技術）:NetSecurity http://t.co/RCWjAYkC
— NTTデータ広報部 (@NTTDATA_PR) 2013年1月29日

あ、ラザラスだw。

Ruby on Railsが深刻な脆弱性に対処 http://t.co/HgSlLm3Z
— マイナビニュース (@news_mynavi_jp) 2013年1月11日

対処した？

[@IT]「ただちに」アップグレードを推奨：「Ruby on Rails」のアップデート公開、極めて深刻な脆弱性を修正 http://t.co/3AEiS37F
— ITmedia (@itmedia) 2013年1月10日

「遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があります」 / JVNVU#94771138: Ruby on Railsに複数の脆弱性 http://t.co/NASjkgig
— kntmr (@knt_mr) 2013年1月10日

遠隔コードの脆弱性を指摘されたのは2013年w。

[エンタープライズ]「Ruby on Rails」に極めて深刻な脆弱性、直ちにアップデートを http://t.co/0Vg8e8Uf
— ITmedia (@itmedia) 2013年1月9日

DoSの脆弱性に対処したRuby on Railsが公開: Rails Core Teaｍは26日(米国時間)、Ruby on Railsに発見された脆弱性に対処したバージョンを公開した… http://t.co/vrW6ozbV
— BizMediaWatch_bot (@BizMediaWatch) 2012年7月31日

RailsがDoS攻撃に耐えられない。

GitHub使ってなくても、Ruby on Rails使ってる人は要注意かも http://t.co/ldbnf7El GitHubに脆弱性、第三者が権限のないリポジトリへのアクセス権を取得可能 | スラッシュドット・ジャパン IT
— 新坂秀敏 (@niisaka) 2012年3月5日

はぁ？

http://t.co/nMhZOr1T #sfjp #sfjp_magazine Ruby on Rails、2件のXSS脆弱性を修正したバージョン3.0.12、3.1.4、3.2.2を公開
— OSDN Magazine (@osdn_magazine) 2012年3月2日

XSS脆弱性の為にフレームワーク全体をバージョンアップする？

Rails 2.3.4 出ましたね。例のXSS脆弱性が修正されています。 - Riding Rails: Ruby on Rails 2.3.4: Security Fixes http://j.mp/1vUN0
— Akira Shimosako (@simosako) 2009年9月5日

XSS脆弱性は修正されてなおったはずだった。

RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した http://ff.im/-7EmGv
— The Bridge (English) (@thebridge_e) 2009年9月4日

Ruby on RailsのXSS脆弱性の報告は2009年9月5日ごろ。

Rubyと幸福の科学w

想定のケースが有り得るのか相当疑問だが、そんな超レアケースでもすぐにふさいでくれるRails開発者GJ! / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳…” http://t.co/pbqRvZsn
— FUKUI Osamu (@iR3) 2013年1月3日

褒めてる場合か？幸福の科学のRuby大好き中年w。
@iR3の3202ツイ r rr

rubyは幸福の科学っぽい印象ｗ
— 西新宿のプログラマ (@shinjuku_pg) 2016年6月14日

"簡単にいうと、幸福の科学とRubyは似たようなビジネスモデル(!?)で、信者さんがお布施代わりにコミットしたりdisったりする。ただ、Rubyは基本クオリティが低いのと、バグやリリース遅延など制度的な欠陥もある。"
— 成瀬 (@nalsh) 2011年8月25日

自民党・石破茂幹事長(守護霊)が幸福の科学と「国防対決」 | ザ・リバティweb http://t.co/bs3YXmIl 石破茂の守護霊「もうあの島ぐらい、朝鮮と中国にやれよ」「(過去世を含めて)二回目なのよ。もう戦いたくないんだ」なぜかダウナー系の守護霊だったりする。
— Aceface (@Aceface4ever) 2012年11月7日

石破茂、島根原発、BWR、製造炉、核兵器、幸福の科学、被曝、臓器狩り、ボコハラム、ナイジェリア、マイクロソフト、ビル・ゲイツ、臓器売買、マネロン、暗号化通貨、LISK、NEM、コインチェック、島根県産Ruby、Ruby on Rails、放置された脆弱性…みたいな？w

Link: 退職のお知らせ - ayuminのあまり更新しないBlog: https://t.co/dV5Hp7VeHK
— Yukihiro Matsumoto (@yukihiro_matz) 2018年1月31日

Heroku
「Heroku（へろく）は2007年創業のアメリカ合衆国の企業[1]。また、同社が開発と運営を行っているPaaSの名称でもある[1]。2010年にはセールスフォース・ドットコムに買収された[1]。」
「初期はRubyによるウェブアプリケーションフレームワークRuby on Railsのみのサポートであったが、Java、Node.js、Scala、Clojure、Python、PHP、Goなど複数のプログラミング言語をサポートするようになった。」

Bonaponta in 原発 2018年2月4日午後 01:39 JST

Tags: nttデータコインチェック幸福の科学

投稿されたコメント:

コメントは無効になっています。

Welcome

You're viewing a weblog entry titled Ruby on Railsはフレームワークなので脆弱性が発見されても容易にバージョンアップはできない。そしてスマホのアプリの為のAPI公開でさらに脆弱になった。update4. If you like this entry you might want to: