Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro noviiro
November 05, 2023
0
270

 LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro

noviiro

November 05, 2023
Tweet

More Decks by noviiro

See All by noviiro
My GAS Tips
Avatar for noviiro noviiro
1
300
LWWSxGASxSlack
Avatar for noviiro noviiro
0
290
FileMaker Data API
Avatar for noviiro noviiro
0
180
Tried to set up Mastodon instance for myself. ( ja )
Avatar for noviiro noviiro
0
160
Several TIPS for making a single board computer a web server (ja)
Avatar for noviiro noviiro
0
220
PINE64で遊んでみた
Avatar for noviiro noviiro
0
390

Featured

See All Featured
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
530
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.5k
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.3k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
8
720
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.7k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.9k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k

Transcript

  1. LaravelのCVE-2021-3129の 脆弱性について Gunma.web #51 ‘23 11/04 @noviiro

  2. CVE-2021-3129の脆弱性について • https://nvd.nist.gov/vuln/detail/CVE-2021-3129 • Laravel 8.4.2(Ignition 2.5.1)の古い構成 • APP_DEBUG=trueの状態で有効 •

    上記脆弱性により、第三者にHPの公開ディレクトリにデバッグモードでアクセス され、curlを使ったファイルの設置と実行ができる状態になる。

  3. APP_DEBUG=true について • Laravelでは.envファイルの設定が優先 ◦ /config/app.phpなどでfalseにしていても、そもそもの .envファイルでtrueになっていればそれが 優先される。 再現環境

  4. おさらい • 使用しているフレームワークの脆弱性情報は常にキャッチアップする ◦ JVNやNVDなど ◦ https://nvd.nist.gov/developers/vulnerabilities APIで叩ける。 ◦ VulsやFuture

    Vulsなど、脆弱性スキャナを webサーバーに設置して定期的にスキャンするのも 手。(Vulsに関してはIPAも紹介している)

  5. おさらい 2 • WAFの選定は重要。ゼロデイ攻撃でもふるまい検知等でWAFで防げるように選 定・構築をする(IP直のアクセスも防げる契約を選ぼう)