Skip to content

Instantly share code, notes, and snippets.

Embed
What would you like to do?
Amon2及び関連モジュールのセキュリティアップデートに関する追加情報、及び Plack::Middleware::Session::Cookie の脆弱性について

HTTP::Session2::ClientStoreの影響について訂正があります。

以前の情報:

  • アプリケーションの実装や、ロードしているモジュールによっては、任意のコード実行に繋がる可能性があります

訂正後:

  • インストールされているモジュール次第で、任意のコード実行が可能です。
  • 典型的なWebアプリケーションの構成の場合、ほぼ確実に任意のコード実行が可能であることが確認されています。

Plack::Middleware::Session::Cookie にも同等の問題が確認されました。 (Plack::Session::State::Cookieではありません)

https://gist.github.com/miyagawa/2b8764af908a0dacd43d

  • secretの指定が無い場合、漏洩した場合、弱いsecretを使っている場合に任意コード実行の脆弱性があります。
  • こちらも、ほぼ確実に任意のコード実行が可能となります。

リモートからの任意のコード実行と非常に影響が大きいため、早急な確認と対応を推奨します。 近日中に、(場合によっては実証コードも含む) 解説記事が書かれる予定です。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.