タグ

rubyとsecurityに関するCherenkovのブックマーク (5)

  • Ruby の脆弱性を見つけた話 - クックパッド開発者ブログ

    こんにちは、技術部の遠藤(@mametter)です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、RubyRubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke

    Ruby の脆弱性を見つけた話 - クックパッド開発者ブログ
    Cherenkov
    Cherenkov 2017/10/05
    Bug Bounty / Ruby に標準添付されたライブラリの中で、「脆弱性といえば WEBrick」。という直観 rubygems
  • http://blog.monoweb.info/article/2012021823.html

    Cherenkov
    Cherenkov 2012/02/20
    X-XSS-Protectionヘッダ
  • Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー

    はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする

    Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー
    Cherenkov
    Cherenkov 2010/10/01
    「yuguiさんがruby-devを読んでない僕に書かせることにする」
  • WEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパン

    [ruby-dev:42003] から始まるスレッド によると、Ruby に添付の Web サーバフレームワーク WEBrick に XSS 可能な脆弱性が発見されたらしい。 ところが、この脆弱性を発見したのは Apple のようなのだが、Mac OS X 同梱の Ruby については既にセキュリティアップデートで対応が行われたのに、Ruby 体側では未だに一切の対応がなされていないようだ。つまり、Mac OS X 同梱ではない Ruby に添付の WEBrick を使用している Web サービスについては、現在、ゼロデイ攻撃が可能な脆弱性が存在するということになる。 AppleRuby 体側に情報を開示しないままに脆弱性の公開を許可してしまったのか、それとも Ruby 体側の対応が遅れてしまって公開期限に間に合わなかったのか、はたまた別の問題があったのか。なんにせよ、どうして

    Cherenkov
    Cherenkov 2010/08/16
    この脆弱性を発見したのは Apple のようなのだが、Mac OS X 同梱の Ruby については既にセキュリティアップデートで対応が行われたのに、Ruby 本体側では未だに一切の対応がなされていないようだ。
  • Ruby で OpenSSL の乱数生成を利用する - WebOS Goodies

    単純な乱数よりだいぶ良くなっていますが、それでも思ったよりシンプルですね。また、最後に MD5 をかけると、 ID の長さが固定されてしまう(鍵空間の広さを調整できない)という欠点もあります。短期間しか使わないセッション ID なら大丈夫でしょうが、永続的な ID としてはちょっと不安が残ります。 なにか Ruby で簡単に強固な ID を生成する方法はないかなぁ、と考えていたのですが、そういえば Ruby には OpenSSL バインドが標準で添付されていました。強力な暗号化には予測困難で偏りの少ない乱数が不可欠ですから、これは期待できますね。そんなわけで、 Ruby から OpenSSL の乱数生成器を利用する方法を調べてみましたので、日はそれをご紹介しようと思います。 調べてみたところ、 C 言語なら OpenSSL の乱数は RAND_bytes という関数で利用できるようです。

    Cherenkov
    Cherenkov 2010/07/11
    ランダムな文字列
  • 1