Hard work by INTERNET

ベンチャーで働くひとりぼっちWEB開発者が頑張るブログ

activeresourceで脆弱性が見つかった

activeresouceとは

Railsアプリケーション間の通信をRESTで行うためのラッパーライブラリのようだ。 自分はactiveresouceを使うようなソフトウェアの開発は経験無し。 https://rubygems.org/gems/activeresource

本文

間違っているかもしれないんだけど、バグレポートを見ている感じだと、finderメソッドの引数に任意の文字列を入力することで、ディレクトリトラバーサルが引き起こす脆弱性だ。 しかし、この脆弱性を使った攻撃が成立するには、アプリケーションがfinderメソッドの引数にパラメータをそのまま渡すような実装をしている必要がある。 そんな人はいないしょ、、、、と思うけど、ActiveRecordチックに使えるライブラリのようなので、params[:id]をそのまま渡すという実装をよくやっているんだろうと思う。 これはかなり大きな穴だ。

この脆弱性を持つバージョンは前バージョンとのこと。修正版は5.1.1に出ている。 使っている人はアップデートを急げ!

https://groups.google.com/forum/#!topic/ruby-security-ann/r0TL_YzNSR0

以上。