■[WWW]脆弱なeRubyアプリケーションのつつきかた

日経ITのサイトに掲載された セキュリティスタジアムに関するページで、 eRubyのアプリケーションが破られた例が 紹介されています。

これは、静岡大学総合情報処理センターの渥美清隆さんらによるもので、 eRubyを使用し、わざと脆弱に作ったWebアプリケーションで、 Rubyの文字列中の式展開を利用し、one-linerでバックドアを作っています:-)

さらに詳しい情報は、セキュリティスタジアムのML、 最終日メモのスレッドや eRubyでバックドアのスレッドに書かれています。

ところで、 [event:01035] Re: 最終日メモ では、 「rubyのセキュリティモデルだと，「汚れた者は一生汚れたままだ」という考え方 に基づいています．」とありますが、 これはRubyのセキュリティモデル的には、「汚れている」オブジェクトに対して、 サニタイジングするだけではなくuntaintする必要もある、というだけの ことではないかと思います。

(Maki)

■[EVENT]関西O+F2002と忘新年会

今月から来月にかけて、いろいろなイベント・企画が予定されています。

まず、今週末に開催される 関西オープンソース＋フリーウェア2002にて、 まつもとさんの『Ruby - Lightweightアプローチ』という講演と、 福井修さんによる『Lightweight Languagesを語り合う』という 企画があります。また、昼や夜にも何かしらの企画を 入れる予定になっているようで、 ML で話し合いが進められています。

また、かさいらぐやふくらぐでも忘新年会の準備が進められているようです。 ふくらぐの方はMLにアナウンスが流れていました。

そのほか追加情報は The RWikiのRuby好きのイベントに 書かれると思われるので、随時参照ください。

(Maki)