くりにっき

フルスタックキュアエンジニアです

security

【CVE 2019-16892】rubyzip v1.3.0にアプデする時は絶対validate_entry_sizesを設定してください

tl;dr; タイトルが全てです 前置き GitHubのSecurity Advisoryで下記のようなPRがきていると思います このPRをマージすればリポジトリのアラートも消えて問題なさそうに見えるのですが、実際にはgemのアップデートだけでは不十分です CVE 2019-16892について…

【CVE-2019-10429】 Jenkins GitLab Logo Plugin v1.0.4をリリースした

作ったきり特にメンテしていなかった Jenkins GitLab Logo Plugin ですが、Jenkinsチームから脆弱性の報告を受けたので修正しました。 jenkins.io https://jenkins.io/security/advisory/2019-09-25/#SECURITY-1575 にも書いてますが、GitLabのprivate token…

【今月のgem】gemが改ざんされているかどうかチェックするgemを作った

先週のRubygems.orgの脆弱性報告を受けてgemを作りました github.com 脆弱性の詳細 使い方 自分がリリースしたgemのうち攻撃を受けた可能性があるgemを検索 Rubygems.orgに上がっているgemとリポジトリに上がってるソースコードの差分を調べる 既知の問題 ま…