HTTP::Session2::ClientStoreの影響について訂正があります。
以前の情報:
- アプリケーションの実装や、ロードしているモジュールによっては、任意のコード実行に繋がる可能性があります
訂正後:
- インストールされているモジュール次第で、任意のコード実行が可能です。
- 典型的なWebアプリケーションの構成の場合、ほぼ確実に任意のコード実行が可能であることが確認されています。
Plack::Middleware::Session::Cookie にも同等の問題が確認されました。 (Plack::Session::State::Cookieではありません)
https://gist.github.com/miyagawa/2b8764af908a0dacd43d
- secretの指定が無い場合、漏洩した場合、弱いsecretを使っている場合に任意コード実行の脆弱性があります。
- こちらも、ほぼ確実に任意のコード実行が可能となります。
リモートからの任意のコード実行と非常に影響が大きいため、早急な確認と対応を推奨します。 近日中に、(場合によっては実証コードも含む) 解説記事が書かれる予定です。