Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LaravelのCVE-2021-3129の脆弱性について.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for noviiro noviiro
November 05, 2023
0
310

 LaravelのCVE-2021-3129の脆弱性について.pdf

Avatar for noviiro

noviiro

November 05, 2023
Tweet

More Decks by noviiro

See All by noviiro
My GAS Tips
Avatar for noviiro noviiro
1
310
LWWSxGASxSlack
Avatar for noviiro noviiro
0
310
FileMaker Data API
Avatar for noviiro noviiro
0
190
Tried to set up Mastodon instance for myself. ( ja )
Avatar for noviiro noviiro
0
180
Several TIPS for making a single board computer a web server (ja)
Avatar for noviiro noviiro
0
230
PINE64で遊んでみた
Avatar for noviiro noviiro
0
410

Featured

See All Featured
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
290
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
190
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
63
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
110
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
0
260
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.1k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
140
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
600
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.3k

Transcript

  1. LaravelのCVE-2021-3129の 脆弱性について Gunma.web #51 ‘23 11/04 @noviiro

  2. CVE-2021-3129の脆弱性について • https://nvd.nist.gov/vuln/detail/CVE-2021-3129 • Laravel 8.4.2(Ignition 2.5.1)の古い構成 • APP_DEBUG=trueの状態で有効 •

    上記脆弱性により、第三者にHPの公開ディレクトリにデバッグモードでアクセス され、curlを使ったファイルの設置と実行ができる状態になる。

  3. APP_DEBUG=true について • Laravelでは.envファイルの設定が優先 ◦ /config/app.phpなどでfalseにしていても、そもそもの .envファイルでtrueになっていればそれが 優先される。 再現環境

  4. おさらい • 使用しているフレームワークの脆弱性情報は常にキャッチアップする ◦ JVNやNVDなど ◦ https://nvd.nist.gov/developers/vulnerabilities APIで叩ける。 ◦ VulsやFuture

    Vulsなど、脆弱性スキャナを webサーバーに設置して定期的にスキャンするのも 手。(Vulsに関してはIPAも紹介している)

  5. おさらい 2 • WAFの選定は重要。ゼロデイ攻撃でもふるまい検知等でWAFで防げるように選 定・構築をする(IP直のアクセスも防げる契約を選ぼう)