BT

Ready for InfoQ 3.0? Try the new design and let us know what you think!

脱線:ハッカーが数ヶ月前のRailsの欠陥を攻撃

| 作者: Jeff Martin フォローする 19 人のフォロワー , 翻訳者 編集部N フォローする 0 人のフォロワー 投稿日 2013年6月5日. 推定読書時間: 1 分 |

原文(投稿日:2013/05/30)へのリンク

Ruby-On-Railsサイトのユーザーと管理者は、2013年1月に公表されたRubyの脆弱性を悪用するマルウェアの標的にされている自分を発見する。一度攻撃されると、パッチを当てていないシステムは、リモートコンピュータから特定のコードをダウンロードするように仕向けられ、そのためにそのシステムはInternet Relay Chat (IRC)クライアントをコンパイルして、特定のチャンネルに参加し、更なる命令を待つことになる。緩いセキュリティポリシーが露出している時に、これらの攻撃はてきぱきしたパッチの展開の重要性をきつく思い起こしてくれる。  

CVE-2013-0156でアナウンスされた元々の欠陥は、パラメータを処理するRuby on Rails のコード中にあった。Aaron Patterson氏によって指摘されたように、

Ruby on Railsのパラメータをパースするコードに複数の脆弱性があり、攻撃者は、認証システムをバイパスして、任意のSQLを注入し、任意のコードを注入して、実行したり、あるいはRailsアプリケーション上でDoS攻撃を実行できます。

 

この発表と時を同じくして、Patterson氏の欠陥に関する説明に、どこで複数のRailsバージョンで利用可能なパッチを入手できるかが提供されている。4ヶ月経っているにもかかわらず、多くのサイトは、パッチが適用されておらず、脆弱なままようである。影響を受けるユーザーが、彼らのシステムが感染したために、自分たちのフラストレーションを口にした。セキュリティ ブロガーのJeff Jarmocが今回のエクスプロイトの詳細なウォークスルーを提供した。その中には、感染したシステムは、IRCを通じて命令を受け取るために実行するプログラムのソースコードが含まれている。

自分のサーバが脆弱であるかどうかを確認したいユーザーは、Tinfoil SecurityのRailscheckを試すことができる。Code Climate Blogがいかにオリジナルの欠陥が働いたかを説明し、もっと詳細を求める人々のために概念実証を提供している。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション
BT