Ruby on Rails の Action Pack のパラメータ解析の脆弱性により任意のRubyコードを実行される脆弱性(CVE-2013-0156)に関する検証レポート
Ruby on Rails の Action Pack のパラメータ解析の脆弱性により任意のRubyコードを実行される脆弱性(CVE-2013-0156)に関する検証レポート Tweet 2013/01/24 NTTデータ先端技術株式会社 辻 伸弘 小松 徹也 【概要】 Ruby on Railsに、リモートより任意のコードを実行される脆弱性が発見されました。 この脆弱性は、パラメータ解析におけるYAMLおよびシンボル変換の不備に起因します。この脆弱性を悪用して、攻撃者はターゲットホスト上にて、奪取したユーザ権限で任意のRubyコードの実行が可能です。 今回、このRuby on RailsのAction Packのパラメータ解析の脆弱性により、任意のRubyコードを実行される脆弱性(CVE-2013-0156)の再現性について検証を行いました。 検証環境には、HTTPリクエストを処理す
料理を支える技術 2012 - SapporoRubyKaigi 2012 で発表してきました - 2nd life (移転しました)
してきました。主な内容は Rails 2.3 -> 3.0 へ、cookpad という巨大なサービスでの Rails をどうアップグレードするかという話がメインです。 こう機会を逃してエントリーがどんどん書きにくくなっていった(日記はその日のうちに書きましょう)んですが、はてダが SpeakerDeck に対応した記念に! あと、SapporoRubyKaigi から帰ってきた翌週、Rails 3.0 -> 3.2 へのバージョンアップもこっそりと行いました。 ピークタイム終わった!ヘーシャもレーィルズ3.2にバージョンアップしましたご協力いただいたみなさん朝からお疲れ様でした!!!!1— セコンさん (@hotchpotch) 9月 19, 2012
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
