Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro noviiro
November 05, 2023
0
300

 LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro

noviiro

November 05, 2023
Tweet

More Decks by noviiro

See All by noviiro
My GAS Tips
Avatar for noviiro noviiro
1
310
LWWSxGASxSlack
Avatar for noviiro noviiro
0
290
FileMaker Data API
Avatar for noviiro noviiro
0
190
Tried to set up Mastodon instance for myself. ( ja )
Avatar for noviiro noviiro
0
170
Several TIPS for making a single board computer a web server (ja)
Avatar for noviiro noviiro
0
230
PINE64で遊んでみた
Avatar for noviiro noviiro
0
400

Featured

See All Featured
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
3k
It's Worth the Effort
Avatar for 3n 3n
187
29k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
790
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
13k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
186
22k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
24
3.8k

Transcript

  1. LaravelのCVE-2021-3129の 脆弱性について Gunma.web #51 ‘23 11/04 @noviiro

  2. CVE-2021-3129の脆弱性について • https://nvd.nist.gov/vuln/detail/CVE-2021-3129 • Laravel 8.4.2(Ignition 2.5.1)の古い構成 • APP_DEBUG=trueの状態で有効 •

    上記脆弱性により、第三者にHPの公開ディレクトリにデバッグモードでアクセス され、curlを使ったファイルの設置と実行ができる状態になる。

  3. APP_DEBUG=true について • Laravelでは.envファイルの設定が優先 ◦ /config/app.phpなどでfalseにしていても、そもそもの .envファイルでtrueになっていればそれが 優先される。 再現環境

  4. おさらい • 使用しているフレームワークの脆弱性情報は常にキャッチアップする ◦ JVNやNVDなど ◦ https://nvd.nist.gov/developers/vulnerabilities APIで叩ける。 ◦ VulsやFuture

    Vulsなど、脆弱性スキャナを webサーバーに設置して定期的にスキャンするのも 手。(Vulsに関してはIPAも紹介している)

  5. おさらい 2 • WAFの選定は重要。ゼロデイ攻撃でもふるまい検知等でWAFで防げるように選 定・構築をする(IP直のアクセスも防げる契約を選ぼう)