弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

Ruby on Railsはフレームワークなので脆弱性が発見されても容易にバージョンアップはできない。そしてスマホのアプリの為のAPI公開でさらに脆弱になった。update4

島根県産のルビー(Ruby)実装のコインチェックが580億円の脱線(Rails)事故を起こすw。
からRuby on Rails脆弱性への対応を切り出し。

@joker1007→Railsをバージョンアップし続けるために必要なこと(2014年08月28日)

テストを書く
まず第一に、何はなくてもテストコードが必要です。もしテストコードが全く無いならば、Railsのバージョンを上げるのはほぼ不可能です。
現在テストコードが無いプロジェクトなら、もう頑張って書くしか方法は無いのですが、それは非常に辛い……。
これですな。致命的な脆弱性が報告されて、Ruby on Railsの新しいバージョンが公開されても、 Ruby on Railsは言語ではなくフレームワーク(F/W)なので、バージョンアップするとシステム全体の再テストが必要になる。 コインチェックの開発部隊がテストコードまでメンテしていたとは思えない。 コストを考えるとバージョンアップなどできない。よって脆弱性は致命的なまま放置された。
脆弱性を放置したままAPI(Webサービス)をネット公開してスマホのアプリまで開発してしまった。 たぶん何でもできる状態だったのだろうw。

安易にAPIをWebサービスにして公開すべきじゃない。とくにおカネの送金に関することなら。

「その脆弱性を見つけたのはBrian Masterbrookだ。彼はTwitterでいくつかのUnicode文字を調べてみて脆弱性を発見し、おなじことをBasecampでもやってみてやはり脆弱であることを確認したので、これはRubyOnRailsの問題に間違いないと考えた。」
えぇ?Unicode文字に脆弱性だってw
しかもそれを指摘したサイトが消えてるし。

IPA

2017年11月13日12時07分03秒 RubyGems における信頼性のないデータのデシリアライゼーションに関する脆弱性 https://t.co/n8VLRLle6D
2017年11月07日12時28分04秒 Ruby http gem における情報漏えいに関する脆弱性 https://t.co/rPllipdggB
2017年07月22日17時46分04秒 Ruby 用 mail gem における SMTP コマンドインジェクションの脆弱性 https://t.co/TDasJCr7hX
2017年07月19日17時39分37秒 Ruby の Net::SMTP における SMTP コマンドインジェクションの脆弱性 https://t.co/fsK0twaFEP
2017年06月26日12時31分07秒 Ruby の Oniguruma-mod および PHP の mbstring で使用される Oniguruma における境界外書き込みに関する脆弱性 https://t.co/b8LTerNnuw
2017年06月26日12時31分07秒 Ruby の Oniguruma-mod および PHP の mbstring で使用される Oniguruma における NULL ポインタデリファレンスに関する脆弱性 https://t.co/JaM7D54L5P
2017年05月29日12時12分37秒 Ruby 用 aescrypt gem における暗号保護メカニズムを破られる脆弱性 https://t.co/02fSGQ9Xal
2017年05月10日12時23分37秒 Ruby で使用される正規表現ライブラリ Onigmo の regparse.c の parse_char_class 関数におけるサービス運用妨害 (DoS) の脆弱性 https://t.co/xWjJwdTzMM

コインチェック社が設立されたのは2012年8月28日。
遠隔コードの脆弱性を指摘されたのは2013年1月10日。
580億円分のNEMが強奪されたサイバー攻撃は2018年1月26日。
5年かぁ。5年もあれば580億円をブッコ抜くコードの開発はじゅうぶん可能だわな。

SQLインジェクションw

あらら。開発部隊が既に解散してて脆弱性の放置状態かぁ。

あ、ラザラスだw。

対処した?

遠隔コードの脆弱性を指摘されたのは2013年w。

RailsがDoS攻撃に耐えられない。

はぁ?

XSS脆弱性の為にフレームワーク全体をバージョンアップする?

XSS脆弱性は修正されてなおったはずだった。

Ruby on RailsのXSS脆弱性の報告は2009年9月5日ごろ。

Rubyと幸福の科学w

褒めてる場合か?幸福の科学のRuby大好き中年w。
@iR3の3202ツイ r rr

w

石破茂、島根原発、BWR、製造炉、核兵器、幸福の科学、被曝、 臓器狩り、ボコハラム、ナイジェリア、マイクロソフト、ビル・ゲイツ、臓器売買、マネロン、暗号化通貨、LISK、NEM、コインチェック、島根県産Ruby、Ruby on Rails、放置された脆弱性…みたいな?w

Heroku
「Heroku(へろく)は2007年創業のアメリカ合衆国の企業[1]。また、同社が開発と運営を行っているPaaSの名称でもある[1]。2010年にはセールスフォース・ドットコムに買収された[1]。」
「初期はRubyによるウェブアプリケーションフレームワークRuby on Railsのみのサポートであったが、Java、Node.js、Scala、Clojure、Python、PHP、Goなど複数のプログラミング言語をサポートするようになった。」

投稿されたコメント:

コメント
コメントは無効になっています。