BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 脱線:ハッカーが数ヶ月前のRailsの欠陥を攻撃

脱線:ハッカーが数ヶ月前のRailsの欠陥を攻撃

原文(投稿日:2013/05/30)へのリンク

Ruby-On-Railsサイトのユーザーと管理者は、2013年1月に公表されたRubyの脆弱性を悪用するマルウェアの標的にされている自分を発見する。一度攻撃されると、パッチを当てていないシステムは、リモートコンピュータから特定のコードをダウンロードするように仕向けられ、そのためにそのシステムはInternet Relay Chat (IRC)クライアントをコンパイルして、特定のチャンネルに参加し、更なる命令を待つことになる。緩いセキュリティポリシーが露出している時に、これらの攻撃はてきぱきしたパッチの展開の重要性をきつく思い起こしてくれる。  

CVE-2013-0156でアナウンスされた元々の欠陥は、パラメータを処理するRuby on Rails のコード中にあった。Aaron Patterson氏によって指摘されたように、

Ruby on Railsのパラメータをパースするコードに複数の脆弱性があり、攻撃者は、認証システムをバイパスして、任意のSQLを注入し、任意のコードを注入して、実行したり、あるいはRailsアプリケーション上でDoS攻撃を実行できます。

 

この発表と時を同じくして、Patterson氏の欠陥に関する説明に、どこで複数のRailsバージョンで利用可能なパッチを入手できるかが提供されている。4ヶ月経っているにもかかわらず、多くのサイトは、パッチが適用されておらず、脆弱なままようである。影響を受けるユーザーが、彼らのシステムが感染したために、自分たちのフラストレーションを口にした。セキュリティ ブロガーのJeff Jarmocが今回のエクスプロイトの詳細なウォークスルーを提供した。その中には、感染したシステムは、IRCを通じて命令を受け取るために実行するプログラムのソースコードが含まれている。

自分のサーバが脆弱であるかどうかを確認したいユーザーは、Tinfoil SecurityのRailscheckを試すことができる。Code Climate Blogがいかにオリジナルの欠陥が働いたかを説明し、もっと詳細を求める人々のために概念実証を提供している。

この記事に星をつける

おすすめ度
スタイル

BT