危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
Introduction At the time of writing, HTTP/3 is supported by 30.4% of the top 10 million websites. This market penetration is astounding, but it seems like all of this progress has been possible almost exclusively by work on browsers, load balancers and CDN providers. What about the backend? How’s HTTP/3 doing there? The answer, sadly, is not as incredible. Because of this, I have been very interes
* Trying 127.0.0.1:8000... * Connected to localhost (127.0.0.1) port 8000 (#0) * h2h3 [:method: GET] * h2h3 [:path: /] * h2h3 [:scheme: http] * h2h3 [:authority: localhost:8000] * h2h3 [user-agent: curl/7.88.1] * h2h3 [accept: */*] * Using Stream ID: 1 (easy handle 0x561bf2f5dce0) > GET / HTTP/2 > Host: localhost:8000 > user-agent: curl/7.88.1 > accept: */* > < HTTP/2 200 < content-type: text/plai
CloudFront Hosting Toolkitを使って静的Webサイト環境を作ってみた | DevelopersIO
手間をかけずにCloudFrontを使った静的Webサイトを作りたい こんにちは、のんピ(@non____97)です。 皆さんは手間をかけずにCloudFrontを使った静的Webサイトを作りたいなと思ったことはありますか? 私はあります。 過去にAWS CDKを使ってこの思いを実現したことがありますが、一からAWS CDKを作り込むのはなかなか大変でした。 そんな苦労はCloudFront Hosting Toolkitを使用すると少し解消されるかもしれません。 CloudFront Hosting ToolkitはCLIまたはAWS CDKでフロントエンドのホスティングとCI/CDパイプラインを用意するツールです。 今だとAmplifyを使えば良いのではないか? という声も聞こえてきますが、細かいカスタマイズを行いたい場合にCloudFront周りを直接操作したい場合があります。そうい
CloudShell VPC environment から VPC内のEC2インスタンスやRDS DBインスタンスに接続してみた | DevelopersIO
CloudShell VPC environment から VPC内のEC2インスタンスやRDS DBインスタンスに接続してみた もっと簡単にVPC内のリソースにアクセスしたい こんにちは、のんピ(@non____97)です。 皆さんはもっと簡単にVPC内のリソースにアクセスしたいと思ったことはありますか? 私はあります。 VPC上のRDS DBインスタンスやRedisクラスターなどのリソースに接続したい場合、Site-to-Site VPNやClient VPN、Direct Connectがなければ踏み台が必要になります。 踏み台へのアクセス方法は以下のようなものがあります。 直接SSH SSMセッションマネージャー EC2 Instance Connect SSMセッションマネージャーとEC2 Instance Connectについては以下記事をご覧ください。 しかし、上述のいずれの
クリックしていただけると励みになります。 出典: Thapana_Studio / Shutterstock.com 高ベータ成長株は投資家を驚かせる可能性があります。ちょうど 1 年前、Carvana (NYSE: CVNA ) の株価は 23.5 ドルで取引されていました。この株は 367% 急騰し、3 桁の取引高を記録しています。このコラムでは、今後 36 か月で 100 ドルを超える取引が見込まれる、20 ドル未満の 3 つの成長株に焦点を当てます。CVNA 株の上昇を考慮すると、私の上昇予想は控えめです。 重要な点は、ミーム銘柄は急激な上昇の後に、同様に急激な調整が起こる可能性があることです。ただし、強力なファンダメンタルズと堅実な事業展開が上昇を支えているのであれば、調整は深刻にはならないでしょう。 したがって、私は魅力的な成長見通しを持つ高ベータ成長株に注目してきました。ビジ
Bula!*1 コロナ禍もすっかり落ち着いてようやく元通り恒例化した我が家の(一足早い)夏休み海外旅行ですが、今年は夏至のフィジーに行ってきました。我々としては初めてのハワイ以外のポリネシア方面への旅になったのですが、事前の期待以上に素晴らしいところで大いに満喫してまいりました。 ということで、いつも通り旅行の記録を兼ねつつ「次回また訪れた時のための備忘録」としての旅行記を綴っておこうと思います。なお我が家は今回が初のフィジー訪問で、フィジーの常連というわけでもなく況してや語学留学や定住などで長期にわたって滞在していたりするわけでもありませんので、事実誤認などあればご指摘くだされば幸いです。 フィジーについて ホテル デナラウ島について フィジーのグルメ ナンディ周辺の観光地 サンベト泥温泉 スリ・シヴァ・スブラマニヤ・スワミ寺院 ナンディ・マーケット 旅をしていて気付いたこと・注意点など
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-06-26 07:30 「Linux」とクラウドネイティブソフトウェアのグローバルリーダーであるSUSEは、ベルリンで開催の「SUSECON」において、自社のLinuxディストリビューションファミリー全体の大幅な強化を発表した。これらの新機能は、価値実現までの時間短縮と運用コストの削減に重点が置かれ、現在の複雑なIT環境における選択の重要性が強調されている。 今回のアップグレードの中心にあるのは、「SUSE Linux Enterprise Server 15 Service Pack 6」(SLES 15 SP6)だ。このアップデートでは、新しい「Long Term Service(LTS)Pack Support Core」により、ITワークロ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
gRPC Over HTTP/3
【Go】h2c で TLS なしの HTTP/2 サーバーをつくる
てりねこブログ【米国株】億万長者を目指すなら投資したい20ドル以下の成長株3選!!
フィジー(デナラウ / ナンディ)に行ってきました - 渋谷駅前で働くデータサイエンティストのブログ
SUSEのLinux製品群がアップグレード--「SLES」のサポート期間は19年に