You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
以前セーフレベル4関係で送ったパッチが脆弱性ということで報告されててまぁびっくり。 Rubyに複数の脆弱性 なぜびっくりかと言うと、私はこれらを脆弱性だと認識していなかったからです(特に untrace_var のは)。「セキュリティーホール」とかの言葉とごっちゃになっていたのですが、こういうものも脆弱性と呼ぶのですね。 システムの脆弱性となるのはハードウェアの欠陥やソフトウェアのバグが多いが、こうした明白な欠陥だけが脆弱性になるわけではなく、開発者が予想しなかった利用形態や設計段階での見落としなど、形式的には欠陥とはならない潜在的な問題点が脆弱性として後から認知されることも多い。 http://e-words.jp/w/E88486E5BCB1E680A7.html 今回のは「開発者が予想しなかった利用形態」に相当するのでしょうか。これまで認識不足でごめんなさい。 さて、セーフレベル4に
For full functionality of this site it is necessary to enable JavaScript. Here are the instructions how to enable JavaScript in your web browser.
昨日、Ruby 1.8.5-p231, 1.8.6-p230, 1.8.7-p22, 1.9.0-2 がリリースされましたね - ¬¬日常日記 に書いた通り、Rubyのセーフレベル4環境に関する情報は案外少ないのですが、ぐだぐだ言っても仕方ないので自分でまとめておくことにします。記憶力がほとんどない自分はまとめておかないとすぐに忘れちゃうからです。本当はまとめても忘れちゃうのですけれども、後で自分で読み直すために書いておきます。 セーフレベル4はセーフレベル2とどう違うの? Rubyのセーフレベルは0から4まであります(昔はもっとあった?いつだったかセーフレベル5という記述を見たような気がするのですが)。ただし実際にセキュリティーモデルとして使用する観点から言えば、重要なのはセーフレベル2(セーフレベル1もほぼ同様ですが、2の方が制限が強くより安全なので、私にとっては2が主流なのです)と4
Posted by usa on 2 Nov 2006 Rubyに標準で添付されているCGIライブラリ(cgi.rb)において、このライブラリを使用してCGIを作成した場合、DoS(Denial Of Service)状態を容易に引き起こしてしまう脆弱性が存在することが発見されました。 この脆弱性については、CVE-2006-5467として公開されています。 該当するバージョンのCGIライブラリを利用している場合は、対策を行うことを推奨します。 脆弱性の存在するバージョン 1.8系 1.8.5以前の全てのバージョン 開発版(1.9系) 2006-09-23以前の全てのバージョン 各バージョンでの対応方法 1.8系 1.8.5に更新した上で、パッチを適用してください。 このパッチのmd5sumは9d25f59d1c33a0b215f6c25260dcb536、サイズは367バイトです。 また
What is an iCloud Activation Lock?In 2014, a quirk was added to iOS7 by Apple that altered the way iPhone accounts were integrated into the software of the phone. This change was named iCloud Bypass Activation Lock. This new method made to iOS 7 (and carried through to iOS10, iOS11 and iOS 12) is that your iPhone, iPad, or Apple Watch is now locked to your personal iCloud, Apple account locked. It
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く