Rails の CVE-2019-5418 は RCE (Remote code execution) です

CVE-2019-5418_is_RCE.md Rails の CVE-2019-5418 は RCE (Remote code execution) です 2019-03-23 更新 Remote Code Executionとして、Advisoryが更新された。 https://groups.google.com/d/msg/rubyonrails-security/zRNVOUhKHrg/GmmcVXcmAAAJ Thanks to @sorah @tenderlove 前置き これは休日に書いた記事で所属している組織とは一切の関係がない。 概要 CVE-2019-5418 は実際のところ高確率でRCEなのだが File Content Disclosure という聞き慣れない名前で公表されて、CVE-2019-5419 で DoSが出来るという内容になっている やあ、脆弱性の開示方

[megamouth]

railsコミュニティで、脆弱性を「大ごとにしない」という極めて不適切な体質が蔓延している、疑いがある。クリティカルな分野において、それは技術選定でrailsを忌避する十分な理由になりうると思う

[softstone]

血を吐くようなalert。みんなちゃんとmalaと向き合え。

[tohokuaiki]

OSSの脆弱性に対するPoCを公開するな/しないとわかんねーじゃん対立ってのは、インターネットが広く使われるようになって以来ずっとあるけど、ベンダーが対応したら分かりやすいように載せるべきだと思ってる。

[programmablekinoko]

最近またスタートアップや個人開発で未経験からrailsでプロジェクト立ち上げました!アピール多いけどこういうのフォローできているのか気になる / https://tech.pepabo.com/2019/03/18/analysis-rails-vulnerabilities/

[niconegoto]

いつも議論になることだけど、PoCを公開しない方がいいという風潮はどうなんだろうかと思っている(個人的には)

[h5y1m141]

CVE-2019-5418のやつFile Content Disclosureではなくってパストラバーサルみたいなキーワードが入っていたら、影響範囲の受け取り方はおそらく違ってるんじゃないかなぁ（ちなみに自分はそんなに影響ないと当初勘違いしてた）

[karikari1255]

ほぼ全面的に同意する。影響度とスコアがそれなりに高かったから自分でも検証したが、最初の概要説明では大した問題ではなさそうと思ってしまっていた。

[sora_h]

“今回の Rails の Advisory は実際に書き方が悪い” はわりとほんとうにそう

[teracy_junk]

『CVE-2019-5418 が成立する環境においては、CVE-2019-5420の「開発環境限定」という条件が外れて、単に CVE-2019-5420 によるRCEが出来る』合わせ技一本

[yatmsu]

アーロンがいる

[mkusunok]

RCEできてしまうのか。Railsをミッションクリティカルなところで使ってる人たちは多い。仮想通貨交換業者なんかも含めて素早い対応に期待したい

[makky55makky55]

今回の脆弱性の一番大事なところは、secret が漏れると、セッションをcookie storeにしている場合にオブジェクトのデシリアライズ時に中身が改竄できてしまいリモートコード実行ができてしまうこと、と理解した

[hirorock]

malaさん

[spam_lover]

この画像本人と思ってる奴いそう

[rryu]

この場合はCVE-2019-5420潜在的なRCEではなくしてCVE-2019-5418と合わせると大変まずいという説明を入れるべきだと思う。全体を把握している人がいないと難しいが…

[sho]

危険性に同意。とはいえ複数の脆弱性の組み合わせ技を適切にアナウンスするのはけっこう難しいよなぁ

[KoshianX]

むう、これは危ないなあ。警告内容を過少にすることがどれほど危険を遠ざけるのかエビデンスがあるならわかるのだが……そのへんどうなんですかね。

[dorje2009]

大事なことが書かれている

[sinsinchang]

確かにうちは対策したらいいやって方は多い

[buhoho]

til /proc/self/environ

[ionis]

うへー。DoSだと思ってスルーしてたわ（

[versatile]

コミュニティの成熟性との関連 / 新しいフレームワークは本番で使う気ないけど rails ほどであればもっとこのへん大丈夫だろうっていう思い込みがあった

[kouyan_h]

こういう脆弱性がどんな影響を及ぼすか分かってない人も多そうだけど、割と大ごとだから対策はしといた方がよさそ（再現して確認してないけど）

[masatomo-m]

"File Content Disclosure" は確かに聞きなれない単語でディレクトリトラバーサルのことを書き換えた意味なのかなくらいに思っていたが、確かにRailsみたいなsecrets.ymlの置き場所が推測可能なフレームワークだと色々まずいな

[mattn]

あかんやつや

[uehaj]

「secretを環境変数に入れるという作法もある。しかし、その場合でも linux上であれば /proc/self/environ を読み取ることで環境変数に書かれた secret を読み取ることが出来る」

[akira_nishii01]

“CVE-2019-5418”