GitHubに脆弱性、第三者が権限のないリポジトリへのアクセス権を取得可能
2012年3月5日 19:32
insiderman 曰く、 3月4日、GitHubに脆弱性が発見された(GitHubのブログ)。同日中に問題は修正され、現在これによる影響をチェックしているとのこと。
この問題は、GitHubが使っているRuby on Railsに含まれていたMass assignmentという脆弱性を使ったもので、実例としてこれを用いて不正な日付でIssueを登録したり、本来なら登録する権限がないSSH公開鍵の登録が行われていた模様。これはRuby on Railsの問題であり、Issueで議論が行われている。
Ruby on Rails側の問題ということで、Ruby on Railsを使っているほかのサイトでも同様の問題が発生する可能性があるようだ。
スラッシュドットのコメントを読む | ITセクション | バグ | IT
関連ストーリー:
米 Wired、GitHub を使って記事を制作 2012年02月28日
「まつもと氏を超える貢献数」という Ruby 開発者なかだのぶよし氏、Heroku の支援を受ける 2011年07月27日
Ruby on Rails 3.0 リリース 2010年08月31日
Ruby on RailsのMVCは「えせMVC」? 2009年10月14日