2019年3月23〜24日のtwitterセキュリティクラスタ

攻撃ツールも公開されたRoRのRCEです。

CVE-2019-5418 Rails file-disclosure vuln upgraded to possible RCE by secret disclosure combined with other known vulnerabilities twitter.com/oss_security/s…

@ooooooo_q Rubyの標準のJSON.loadでは、json_create github.com/flori/json/tre…
docs.ruby-lang.org/ja/latest/meth… を使うようになってて、
require “json/add/core” を呼ぶと、それらがmixinされて標準タイプいくつかがサポートされるみたい。

@bulkneets require “json/add/core” 呼ぶことでできました。ありがとうございます!

WOOooOOW RCE on Rails 5.2.2 using CVE-2019-5418 and CVE-2019-5420

Exploit coming on github in few hours #BugBounty pic.twitter.com/HNJdvysYla

Quick check CVE-2019-5418 for 234K domains, 3 success results. 1 duplicate, 1 out of scope, 1 triaged 🙂

CVE-2019-5418 RCEまでいけるPoCはすぐ作れるし既に公開されてるし、バグハンターはもうスキャンかけまくってるよ

twitter.com/mpgn_x64/statu…
twitter.com/celalerdik/sta…

CVE-2019-5420 は自分に言わせると直っていないし、開発者向けのバックドアですからね。(なぜ新しく作る機能でMarshalを使ってしまうのか)

その他に気になったことはこのあたり。

違法ダウンロード対象拡大の件、文科省・文化庁の対応は最悪と言ってよい。文化審議会著作権分科会で座長を務めるクラスの学者・識者、あるいは日本の最前線にいるクリエイター諸氏・団体による真正面からの異議申し立てを「デマ」として政治家に吹き込む。ほとんど自殺行為ではないか。

あえて書くと、記者にとって、これほど「おいしい」愚行もない。文科省・文化庁がこれまでにしてきた/していることを正確に描写し、審議会での審議記録・法案の文面、さらにさまざまな懸念声明の細部にわたって突き合わせていく。それだけで、でたらめぶりを浮き彫りにできる。調査報道の基礎の基礎。

何しろ、審議記録はじめ、ほとんど全部が記録として文面に残っている。事実関係の確認は、ある程度の手間さえかければ難しくない。そして法案内容の妥当な解釈については、当然斯界の権威にお願いするわけだが──その権威の大半が反対声明をあえて出した人々。「愚行」と呼ぶゆえん。

本日着弾の #Amazon #Phishing メールです
件名:Amazon支払方法の情報を更新する!
URL1:www[.]aomazon-produit[.]com
urlscanio: (現時点スキャンできず)

URL2:www[.]aomazon-tokyos[.]com (154.222.1[.]117)
urlscaio:urlscan.io/result/b7808f7… (キャプチャ画面まっ白…。)

昨日夜着弾ですが #JCB#Phishing メールもありました。
件名:【重要:必ずお読みください】 MyJCB ご登録確認
URL:www[.]jcbqqeconshop[.]com (154.48.240[.]7)
urlscanio:urlscan.io/result/0aec2e1…

とりあえず、「『スクショが違法になるなどのデマ』がデマ」であることを示しておくと、文化庁が年末年始に募集したパブコメに添付した参考資料“「ダウンロード違法化の対象範囲の見直し」に関する留意事項”の中で文化庁自身が「対象に含まれる」と明記してる。
search.e-gov.go.jp/servlet/PcmFil…

“「複製」とは、手段を問わず著作物を有形的に再製することを指すものですので、右クリックによる保存のほか、スクリーンショット等も対象に含まれます。” って、自分たちで書いてるのに「デマ」って言う?

もっとも、「すべてのスクショが違法」と誤解してる人が観測範囲内でも結構多かったのは事実。「違法にアップロードされた著作物」を「そうと知りながら」複製(スクショ含む)するのが違法になるという案だったので、「スクショの一部が違法」になると捉えるのが正。

で、日本マンガ学会の方々も日本漫画家協会の方々も、もちろん法律の専門家たちも、そんな誤解なんてしていない。ちゃんと改正案の意味を理解した上で、それは違法となる範囲が広すぎると反対している。それを勝手に「誤解」と決めつけてかかっているのはちとタチが悪い。

違法ダウンロード拡大:まだ気を抜いてはならない、これだけの理由 yamadashoji.net/?p=732 #ダウンロード違法化 #違法DL拡大 @yamadashojiさんから

おそらく文化庁としては主観要件でもって問題ないとの認識なのだろうが、少し視野が狭いのではないか。
ウイルス罪で立法の主旨に反する摘発が行われている現状を黙認する一方、もう一方で法案の不備での摘発を心配する国民はおかしい、誤解だ、などと言ってのける政府に不安を抱くのは自然だろう。 twitter.com/tk_takamura/st…

週末土曜に実施する、脆弱性対応勉強会(IPAの資料を基にしたハンズオン)の資料を用意しました。公開しますね。

speakerdeck.com/hogehuga/cui-r…

自分は使ったことないので知らなかったけど、こんなことが起きてたのか。ZDnetで報道されているとおりの情報が売りに出ていたのなら、パスワードはソルト無しのMD5と考えられ、であれば「第三者にログインされることはありません」は事実とは異なるのでは?

zdnet.com/article/round-… twitter.com/lifebearjp/sta…

会社のエンジニアの中途採用の面接で、長年PMやってた人にパスワードのハッシュ化についての現時点でのベストプラクティスを問うたら、ソルトもストレッチングも知らず、当然レインボーテーブルも知らなかったので、脆弱な設計・実装を自信満々に「安全」としているケースは多いのではないか?

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>