Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Django のセキュリティリリースを見る

Avatar for Yamaguchi Takahiro Yamaguchi Takahiro
December 21, 2022
Technology
0
120

Django のセキュリティリリースを見る

Avatar for Yamaguchi Takahiro

Yamaguchi Takahiro

December 21, 2022
Tweet

More Decks by Yamaguchi Takahiro

See All by Yamaguchi Takahiro
コンペを気楽に開催しよーぜ!@関西Kaggler会
Avatar for Yamaguchi Takahiro nyk510
0
1.4k
3分でMLアプリを作る 〜推論コードにちょっとのStreamlitを添えて〜
Avatar for Yamaguchi Takahiro nyk510
1
1.2k
硬派で真面目なグラフを描く
Avatar for Yamaguchi Takahiro nyk510
0
550
CORSをちゃんと理解する atmaバックエンド勉強会#4
Avatar for Yamaguchi Takahiro nyk510
0
440
pythonで気軽にパッケージを作るのは良いという話。
Avatar for Yamaguchi Takahiro nyk510
14
9.8k
RestAPIのページネーション atma バックエンド勉強会 #3
Avatar for Yamaguchi Takahiro nyk510
1
1k
AWS CPU Credit を完全に理解する
Avatar for Yamaguchi Takahiro nyk510
0
490
atmaCup#8 Opening
Avatar for Yamaguchi Takahiro nyk510
0
300
オンサイトデータコンペの魅力: 関わる全員が楽しいコンペ設計のための取り組み
Avatar for Yamaguchi Takahiro nyk510
3
5.6k

Other Decks in Technology

See All in Technology
Kaggleの経験が実務にどう活きているか / kaggle_findy
Avatar for Sansan R&D sansan_randd
4
750
【5分でわかる】セーフィー エンジニア向け会社紹介
Avatar for Safie safie_recruit
0
44k
A Gentle Introduction to Transformers
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
1
120
OCI Security サービス 概要
Avatar for oracle4engineer oracle4engineer
PRO
2
13k
Oracle Cloud Infrastructure:2026年2月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
220
Windows ネットワークを再確認する
Avatar for Murachi Akira murachiakira
PRO
0
260
組織のSREを推進するためのPlatform EngineeringとEKS / Platform Engineering and EKS to drive SRE in your organization
Avatar for mekka chmikata
0
180
AIに視覚を与えモバイルアプリケーション開発をより円滑に行う
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
790
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
Avatar for Markus Harrer feststelltaste
1
170
ブラックボックス観測に基づくAI支援のプロトコルのリバースエンジニアリングと再現 ~AIを用いたリバースエンジニアリング~ @ SECCON 14 電脳会議 / Reverse Engineering and Reproduction of an AI-Assisted Protocol Based on Black-Box Observation @ SECCON 14 DENNO-KAIGI
Avatar for chibiegg chibiegg
0
140
パネルディスカッション資料 (at Tableau Now! - 2026-02-26)
Avatar for Yoshitaka Arakawa yoshitakaarakawa
0
1.1k
Claude Cowork Plugins を読む - Skills駆動型業務エージェント設計の実像と構造
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
260

Featured

See All Featured
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.1k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
250
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
3
350
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
330
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
470
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.5k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
150
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
120

Transcript

  1. Django のセキュリティリリー スを見る 2022/10/26 nyk510

  2. Djangoはすごい! が頼り過ぎてる…? • Djangoはフルスタックフレームワークでセキュリティについては心配ない、と思っている • ただ実際にはたまにセキュリティインシデントが見つかってパッチが配布されている • 具体的な中身とかどうやって開発されているとか知らない…おんぶにだっこ

  3. 今日の目的 • 今も残っている不具合を知る • どういう方法で配布されているかの仕組みをしる

  4. Djangoのバージョン管理方法 • githubで管理されている • 新しいバージョンができるとリリースのための tag が切られ公式サイトで通知される • リリース一覧は https://docs.djangoproject.com/en/4.1/releases/

    から見ることができる

  5. 最近のセキュリティ系のリリース Django 4.0.8 release notes https://docs.djangoproject.com/en/4.1/releases/4.0.8/ から拝借 (2022-10-16)

  6. 最近のセキュリティ系のリリース Django 4.0.8 release notes https://docs.djangoproject.com/en/4.1/releases/4.0.8/ から拝借 (2022-10-16) リリースページにセキュリティ issue

    であることがそのレベルと共に表記され る - 高: リモートコード実行・ SQLインジェクション - 中: XSS・CSRFなどの攻撃系 - 低: レアケースな設定の問題・未検証のリダイレクト問題等 名前はCVE + わかりやすい説明と共に表記される。 (国際化された URL における潜在的なサービス拒否の脆弱性 )

  7. CVEとは? 情報セキュリティのおける脆弱性やインシデントに ついて固有の名前をつけて管理するデータベース 昔は各種の団体やベンダーが独自報告して散逸して いることを問題視して作られた に作成せずCVEに統一されることで脆弱性の比較検 討が容易になった(トノコト) https://www.cve.org/

  8. Django 4.0.8 に該当するページを調べるには? CVE から始まるIDで調べると出てくる • https://www.cve.org/CVERecord?id=CVE -2022-41323 先程よりも包括的な内容が記載されている •

    django4.0.8以外でも修正されたことがわか る 内容と参照すべきリンクが記載されている • 今回の場合だとリリースがどこに影響があっ たかや、どこで修正がされたか (commit) な ども記載がある。

  9. どういう内容だった? CVEのページに当該修正の commit log がある: https://github.com/django/django/commit/5 b6b257fa7ec37ff27965358800c67e2dd11c9 24 修正内容は1行 (というより10文字ぐらい)・

    re.escape を追加するところ

  10. どういう内容だった? • 言語指定に正規表現が受け付けられていた • 内部に正規表現で意味がある単語が利用さ れるとクラッシュする ◦ 例えば `e(` などをリクエストされたと

    き [re.error: missing ), unterminated subpattern at position 1] となる • これによりDDos攻撃などに弱くなる

  11. 番外編: もしセキュリティ関連のミスを見つけたら? • Djangoのissueを作らずメールせよとのこと • 公にセキュリティの不備が知られるとまずいのでそうなってる