RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記

2019/12/24 8 users OSS Qiita Ruby 引数 脆弱性

この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年（RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記）と同様にRuby関連で今年見つけた脆弱性の話です。 Ruby CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性 hackerone.com 脆弱性なのか判断に迷うもの。 引数が.sendにそのまま渡... 続きを読む

RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記

2018/12/23 100 users OSS Ruby tmp 脆弱性 Dir

この記事はRuby Advent Calendar 2018 - Qiitaの23日目です。 今年はRubyやOSSの脆弱性をいろいろ探していたので、その感想を。 Ruby (Cruby) Tmpでのディレクトリトラバーサル DirでのNUL文字の扱いの問題 UNIX ドメインソケットでのNUL文字 Ruby 2.6での挙動変更 Dir[]でのNUL文字について Rubygems rubygems 65534倍... 続きを読む