【CVE-2020-2179】Jenkins Yaml Axis Plugin v0.2.1をリリースした

security

昔作ったJenkins Yaml Axis Pluginにリモートコード実行の脆弱性が見つかったので修正してv0.2.1をリリースしています。ご利用の方は速やかにアプデお願いします。 https://github.com/jenkinsci/yaml-axis-plugin/blob/master/CHANGELOG.md#021-2020-04-07 …

2019-10-01

【CVE 2019-16892】rubyzip v1.3.0にアプデする時は絶対validate_entry_sizesを設定してください

security Ruby

tl;dr; タイトルが全てです前置き GitHubのSecurity Advisoryで下記のようなPRがきていると思いますこのPRをマージすればリポジトリのアラートも消えて問題なさそうに見えるのですが、実際にはgemのアップデートだけでは不十分です CVE 2019-16892について…

2019-09-26

【CVE-2019-10429】 Jenkins GitLab Logo Plugin v1.0.4をリリースした

security

作ったきり特にメンテしていなかった Jenkins GitLab Logo Plugin ですが、Jenkinsチームから脆弱性の報告を受けたので修正しました。 jenkins.io https://jenkins.io/security/advisory/2019-09-25/#SECURITY-1575 にも書いてますが、GitLabのprivate token…

2016-04-15

【今月のgem】gemが改ざんされているかどうかチェックするgemを作った

Ruby gem security

先週のRubygems.orgの脆弱性報告を受けてgemを作りました github.com 脆弱性の詳細使い方自分がリリースしたgemのうち攻撃を受けた可能性があるgemを検索 Rubygems.orgに上がっているgemとリポジトリに上がってるソースコードの差分を調べる既知の問題ま…

くりにっき

フルスタックキュアエンジニアです

security

【CVE-2020-2179】Jenkins Yaml Axis Plugin v0.2.1をリリースした

【CVE 2019-16892】rubyzip v1.3.0にアプデする時は絶対validate_entry_sizesを設定してください

【CVE-2019-10429】 Jenkins GitLab Logo Plugin v1.0.4をリリースした

【今月のgem】gemが改ざんされているかどうかチェックするgemを作った