弁財天
ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」
ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」
→島根県産のルビー(Ruby)実装のコインチェックが580億円の脱線(Rails)事故を起こすw。
からRuby on Rails脆弱性への対応を切り出し。
New blogpost:
— Cyberdefense Inst. (@cyberdefense_jp) 2016年8月5日
Ruby on Rails 脆弱性解説 - CVE-2016-0752(前編) - DARK MATTERhttps://t.co/aZ8ODAUEqN
RubyOnRailsをやっている人がかわいそうだ。いつまでも脆弱性やアップグレードのたびにシステムを保守していかなければならないのだから https://t.co/BzRaHrW9ia 356
— app (@app86161956) 2016年12月30日
@joker1007→Railsをバージョンアップし続けるために必要なこと(2014年08月28日)
テストを書くこれですな。致命的な脆弱性が報告されて、Ruby on Railsの新しいバージョンが公開されても、 Ruby on Railsは言語ではなくフレームワーク(F/W)なので、バージョンアップするとシステム全体の再テストが必要になる。 コインチェックの開発部隊がテストコードまでメンテしていたとは思えない。 コストを考えるとバージョンアップなどできない。よって脆弱性は致命的なまま放置された。
まず第一に、何はなくてもテストコードが必要です。もしテストコードが全く無いならば、Railsのバージョンを上げるのはほぼ不可能です。
現在テストコードが無いプロジェクトなら、もう頑張って書くしか方法は無いのですが、それは非常に辛い……。
https://t.co/x7lP2ckJ7Q
— からかい上手のフミタカさん (@m1fumi) 2018年1月29日
コインチェックはRubyでシステム作ってて、外部からAPIでアクセスしていた
今回出勤記録が残っているという事なので、GUIもしくはAPIに脆弱性があった可能性はある
安易にAPIをWebサービスにして公開すべきじゃない。とくにおカネの送金に関することなら。【セキュリティがテーマ】OSSの診断ツールを使ってRuby on Rails製Webアプリに脆弱性診断を行う方法と、フレームワークが対策しているorしていない脆弱性について書きます。
— カレーイベントポータル (@curryevent) 2018年1月8日
技術書典4にサークル「Webサービス作り隊」として参加申込をしました! | 技術書典 https://t.co/vXhf452Ps0
RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した | TechCrunch Japan https://t.co/dhImBgSo6Y @jptechcrunchさんから
— てるてる (@teruteru128) 2017年10月8日
「その脆弱性を見つけたのはBrian Masterbrookだ。彼はTwitterでいくつかのUnicode文字を調べてみて脆弱性を発見し、おなじことをBasecampでもやってみてやはり脆弱であることを確認したので、これはRubyOnRailsの問題に間違いないと考えた。」
えぇ?Unicode文字に脆弱性だってw
しかもそれを指摘したサイトが消えてるし。
Ruby on Rails の Action View におけるクロスサイトスクリプティングの脆弱性 https://t.co/qthdDri2JN
— IPA (JVNiPedia) (@JVNiPedia) 2016年9月10日
Ruby on Rails の Action Pack の actionpack/lib/action_dispatch/http/mime_type.rb におけるサービス運用妨害 (DoS) の脆弱性 https://t.co/SluoA4fg4u
— IPA (JVNiPedia) (@JVNiPedia) 2016年3月22日
Ruby on Rails の Active Model における検証手順を回避される脆弱性 https://t.co/5BjQMGDC72
— IPA (JVNiPedia) (@JVNiPedia) 2016年3月12日
Ruby on Rails の Active Record の activerecord/lib/active_record/nested_attributes.rb における変更制限を回避される脆弱性 https://t.co/iFQXH5Jfes
— IPA (JVNiPedia) (@JVNiPedia) 2016年3月15日
Ruby on Rails の Action Controller の Basic 認証の実装における認証を回避される脆弱性 https://t.co/hJnVUhvdix
— IPA (JVNiPedia) (@JVNiPedia) 2016年3月15日
Ruby on Rails で使用される jquery-rails の jquery_ujs.js および jquery-ujs の rails.js における同一生成元ポリシーを回避される脆弱性 http://t.co/Rjrw7AiilL
— IPA (JVNiPedia) (@JVNiPedia) 2015年7月29日
Ruby on Rails などの製品で使用される Rack の lib/rack/utils.rb におけるサービス運用妨害 (DoS) の脆弱性 http://t.co/XZkME3weJQ
— IPA (JVNiPedia) (@JVNiPedia) 2015年7月29日
Ruby on Rails の Active Support の jdom.rb および rexml.rb コンポーネントにおけるサービス運用妨害 (DoS) の脆弱性 http://t.co/vwXyWIoozb
— IPA (JVNiPedia) (@JVNiPedia) 2015年7月29日
Ruby on Rails で使用される Web Console の request.rb における whitelisted_ips 保護メカニズムを回避される脆弱性 http://t.co/Q7zZV6LHpO
— IPA (JVNiPedia) (@JVNiPedia) 2015年7月29日
Ruby on Rails の Action Pack の actionpack/lib/action_dispatch/middleware/static.rb におけるディレクトリトラバーサルの脆弱性 http://t.co/xfthih8o5J
— IPA (JVNiPedia) (@JVNiPedia) 2014年11月11日
Ruby on Rails に同梱されている Sprockets の server.rb におけるディレクトリトラバーサルの脆弱性 http://t.co/u5m46yScmk
— IPA (JVNiPedia) (@JVNiPedia) 2014年11月11日
Ruby on Rails の Active Record における強力なパラメータ保護メカニズムを回避される脆弱性 http://t.co/rm2E7RADrD
— IPA (JVNiPedia) (@JVNiPedia) 2014年8月22日
Ruby on Rails の implicit-render の実装におけるディレクトリトラバーサルの脆弱性 http://t.co/Q3UstJ1RIT
— IPA (JVNiPedia) (@JVNiPedia) 2014年5月8日
Ruby on Rails の implicit-render の実装におけるディレクトリトラバーサルの脆弱性 http://t.co/Q3UstJ1RIT
— IPA (JVNiPedia) (@JVNiPedia) 2014年5月8日
Ruby on Rails の Active Record における SQL インジェクションの脆弱性 http://t.co/GpZY7AXIRz
— IPA (JVNiPedia) (@JVNiPedia) 2014年2月21日
CloudForms Management Engine における Ruby on Rails の protect_from_forgery メカニズムを回避される脆弱性 http://t.co/q6AGZSNmhR
— IPA (JVNiPedia) (@JVNiPedia) 2014年1月27日
Ruby on Rails の actionpack/lib/action_dispatch/http/request.rb におけるデータベースクエリの制限を回避される脆弱性 http://t.co/Sc18I0V3Ad
— IPA (JVNiPedia) (@JVNiPedia) 2013年12月10日
Ruby on Rails の actionpack/lib/action_view/helpers/number_helper.rb におけるクロスサイトスクリプティングの脆弱性 http://t.co/nUuJhFhKge
— IPA (JVNiPedia) (@JVNiPedia) 2013年12月10日
Ruby on Rails の internationalization コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/pGCbRp8vaC
— IPA (JVNiPedia) (@JVNiPedia) 2013年12月10日
Ruby on Rails の Action Mailer の log subscriber コンポーネントにおけるフォーマットストリングの脆弱性 http://t.co/B6JBk3ZBr3
— IPA (JVNiPedia) (@JVNiPedia) 2013年10月21日
Ruby on Rails の Active Record コンポーネントにおけるデータ型インジェクション攻撃を実行される脆弱性 http://t.co/3AjDEq8W1s
— IPA (JVNiPedia) (@JVNiPedia) 2013年4月24日
Ruby on Rails の Action Pack コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/WovdsHyq1c
— IPA (JVNiPedia) (@JVNiPedia) 2013年3月22日
Ruby on Rails の Active Support コンポーネントにおける任意のファイルを読まれる脆弱性 http://t.co/R9AhwzTfp3
— IPA (JVNiPedia) (@JVNiPedia) 2013年3月22日
JVNDB-2013-001554: Ruby on Rails の ActiveRecord におけるサービス運用妨害 (DoS) の脆弱性 http://t.co/qAtKNERh
— IPA (JVNiPedia) (@JVNiPedia) 2013年2月15日
JVNDB-2013-001553: Ruby on Rails の ActiveRecord における attr_protected 保護メカニズムを回... http://t.co/aT5ZorBc
— IPA (JVNiPedia) (@JVNiPedia) 2013年2月15日
JVNDB-2013-001320: Ruby on Rails における任意のコードを実行される脆弱性 http://t.co/agdfgIxo
— IPA (JVNiPedia) (@JVNiPedia) 2013年1月31日
コインチェック社が設立されたのは2012年8月28日。「遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があります」 / JVNVU#94771138: Ruby on Railsに複数の脆弱性 http://t.co/NASjkgig
— kntmr (@knt_mr) 2013年1月10日
JVNDB-2012-005811: Ruby on Rails 用 Authlogic gem における SQL インジェクションの脆弱性 http://t.co/uBLh1wSY
— IPA (JVNiPedia) (@JVNiPedia) 2012年12月28日
JVNDB-2012-003531: Ruby on Rails の strip_tags ヘルパーにおけるクロスサイトスクリプティングの脆弱性 http://t.co/3H04sgIE
— IPA (JVNiPedia) (@JVNiPedia) 2012年8月13日
JVNDB-2012-002861: Ruby on Rails におけるデータベースのクエリ制限を回避される脆弱性 http://t.co/foNgIIgH
— IPA (JVNiPedia) (@JVNiPedia) 2012年6月26日
SQLインジェクションwJVNDB-2012-002862: Ruby on Rails の Active Record コンポーネントにおける SQL インジェクションの脆弱性 http://t.co/NXq4FAOX
— IPA (JVNiPedia) (@JVNiPedia) 2012年6月26日
JVNDB-2012-001737: Ruby on Rails の select helper におけるクロスサイトスクリプティングの脆弱性 http://t.co/m0Ycl4QP
— IPA (JVNiPedia) (@JVNiPedia) 2012年3月14日
JVNDB-2011-003101: Ruby on Rails におけるクロスサイトスクリプティングの脆弱性 http://t.co/IVuoHpAq
— IPA (JVNiPedia) (@JVNiPedia) 2011年11月29日
元記事読みましたが、『ログアウト後であっても暗号化Cookieを送信してなりすましできる』の『ログアウト後であっても』を省略して変になったようですね Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 http://t.co/ySODCqL7vc
— 徳丸 浩 (@ockeghem) 2013年12月2日
あらら。開発部隊が既に解散してて脆弱性の放置状態かぁ。[エンタープライズ]Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態 http://t.co/QJJKfZ0snP
— ITmedia (@itmedia) 2013年11月26日
「Linuxサーバ」+「Ruby on Rails」環境への攻撃が確認されました
— トレンドマイクロ (@trendmicro_jp) 2013年6月3日
ブログ更新:
Ruby on Rails の脆弱性を利用するLinuxサーバへの攻撃を確認。Deep Securityで既に対応済http://t.co/49OeNJcIuI
[エンタープライズ]脆弱性放置のRuby on Railsが標的に、Webサーバを狙うボット攻撃が横行 http://t.co/ENXpb9r1t8
— ITmedia (@itmedia) 2013年5月29日
Ruby on Rails の Active Record コンポーネントにおけるデータ型インジェクション攻撃を実行される脆弱性 http://t.co/3AjDEq8W1s
— IPA (JVNiPedia) (@JVNiPedia) 2013年4月24日
Ruby on Rails の Action Pack コンポーネントにおけるクロスサイトスクリプティングの脆弱性 http://t.co/WovdsHyq1c
— IPA (JVNiPedia) (@JVNiPedia) 2013年3月22日
Ruby on Rails の Active Support コンポーネントにおける任意のファイルを読まれる脆弱性 http://t.co/R9AhwzTfp3
— IPA (JVNiPedia) (@JVNiPedia) 2013年3月22日
あ、ラザラスだw。【Web記事掲載】Ruby on Railsで任意のRubyコードが実行される脆弱性の検証レポート(NTTデータ先端技術):NetSecurity http://t.co/RCWjAYkC
— NTTデータ 広報部 (@NTTDATA_PR) 2013年1月29日
対処した?Ruby on Railsが深刻な脆弱性に対処 http://t.co/HgSlLm3Z
— マイナビニュース (@news_mynavi_jp) 2013年1月11日
[@IT]「ただちに」アップグレードを推奨:「Ruby on Rails」のアップデート公開、極めて深刻な脆弱性を修正 http://t.co/3AEiS37F
— ITmedia (@itmedia) 2013年1月10日
遠隔コードの脆弱性を指摘されたのは2013年w。「遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意のSQLコマンドが実行されたりするなどの可能性があります」 / JVNVU#94771138: Ruby on Railsに複数の脆弱性 http://t.co/NASjkgig
— kntmr (@knt_mr) 2013年1月10日
[エンタープライズ]「Ruby on Rails」に極めて深刻な脆弱性、直ちにアップデートを http://t.co/0Vg8e8Uf
— ITmedia (@itmedia) 2013年1月9日
RailsがDoS攻撃に耐えられない。DoSの脆弱性に対処したRuby on Railsが公開: Rails Core Teamは26日(米国時間)、Ruby on Railsに発見された脆弱性に対処したバージョンを公開した… http://t.co/vrW6ozbV
— BizMediaWatch_bot (@BizMediaWatch) 2012年7月31日
はぁ?GitHub使ってなくても、Ruby on Rails使ってる人は要注意かも http://t.co/ldbnf7El GitHubに脆弱性、第三者が権限のないリポジトリへのアクセス権を取得可能 | スラッシュドット・ジャパン IT
— 新坂秀敏 (@niisaka) 2012年3月5日
XSS脆弱性の為にフレームワーク全体をバージョンアップする?http://t.co/nMhZOr1T #sfjp #sfjp_magazine Ruby on Rails、2件のXSS脆弱性を修正したバージョン3.0.12、3.1.4、3.2.2を公開
— OSDN Magazine (@osdn_magazine) 2012年3月2日
XSS脆弱性は修正されてなおったはずだった。Rails 2.3.4 出ましたね。例のXSS脆弱性が修正されています。 - Riding Rails: Ruby on Rails 2.3.4: Security Fixes http://j.mp/1vUN0
— Akira Shimosako (@simosako) 2009年9月5日
Ruby on RailsのXSS脆弱性の報告は2009年9月5日ごろ。RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した http://ff.im/-7EmGv
— The Bridge (English) (@thebridge_e) 2009年9月4日
褒めてる場合か?幸福の科学のRuby大好き中年w。想定のケースが有り得るのか相当疑問だが、そんな超レアケースでもすぐにふさいでくれるRails開発者GJ! / “Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳…” http://t.co/pbqRvZsn
— FUKUI Osamu (@iR3) 2013年1月3日
rubyは幸福の科学っぽい印象w
— 西新宿のプログラマ (@shinjuku_pg) 2016年6月14日
"簡単にいうと、幸福の科学とRubyは似たようなビジネスモデル(!?)で、信者さんがお布施代わりにコミットしたりdisったりする。ただ、Rubyは基本クオリティが低いのと、バグやリリース遅延など制度的な欠陥もある。"
— 成瀬 (@nalsh) 2011年8月25日
w自民党・石破茂幹事長(守護霊)が幸福の科学と「国防対決」 | ザ・リバティweb http://t.co/bs3YXmIl 石破茂の守護霊「もうあの島ぐらい、朝鮮と中国にやれよ」「(過去世を含めて)二回目なのよ。もう戦いたくないんだ」なぜかダウナー系の守護霊だったりする。
— Aceface (@Aceface4ever) 2012年11月7日
石破茂、島根原発、BWR、製造炉、核兵器、幸福の科学、被曝、 臓器狩り、ボコハラム、ナイジェリア、マイクロソフト、ビル・ゲイツ、臓器売買、マネロン、暗号化通貨、LISK、NEM、コインチェック、島根県産Ruby、Ruby on Rails、放置された脆弱性…みたいな?w
HerokuLink: 退職のお知らせ - ayuminのあまり更新しないBlog: https://t.co/dV5Hp7VeHK
— Yukihiro Matsumoto (@yukihiro_matz) 2018年1月31日
Bonaponta in 原発 2018年2月4日 午後 01:39 JST