「Ruby on Rails」に致命的な脆弱性──修正不可能 - bogusnews
ナウでヤングなWeb開発者のあいだで人気の高いアプリケーションフレームワーク「Ruby on Rails」に9日、致命的な脆弱性が見つかった。開発チームでは 「かなり大きな不具合で、根本的な修正は不可能」 としており、オープンソース界に衝撃が走っている。 影響があるのはRuby on Railsの全バージョン。この脆弱性はRails開発者の精神を侵食する悪質なもので、発症すると Perl利用者をバカにする いちいちなんでも「オブジェクト、オブジェクト」と言っていけすかない フォームメーラやアクセスカウンタすらRailsで組もうとする「フレームワーク脳」になる などの不調を引き起こすという。 この脆弱性を衝かれておかしくなった開発者は、日本を中心にすでに多数報告されており、 就職面接で「うちはJavaなんだよねぇ」と言ったらblogで逆ギレされた 「キミがRails好きでも、他の人がPHPだ
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: )国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃用コードをホストさせ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
