エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記
この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年(RubyやRubyのOSSの脆弱性を見つけた... この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年(RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記)と同様にRuby関連で今年見つけた脆弱性の話です。 Ruby CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性 hackerone.com 脆弱性なのか判断に迷うもの。 引数が.sendにそのまま渡されるので値によってはコードが実行できるものでした。 .sendを使って実際に攻撃できるパターンが有るのか、Rubyのコードの中を調べて見つけた覚えがあります。 CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性 hackerone.com またNul文字。さすがにRubyではもうNul文字の問題はないのではないでしょうか。多分。 Pathna