$30 off During Our Annual Pro Sale. View Details »

Django のセキュリティリリースを見る

Yamaguchi Takahiro
December 21, 2022
Technology
0
8

Django のセキュリティリリースを見る

Yamaguchi Takahiro

December 21, 2022
Tweet

More Decks by Yamaguchi Takahiro

See All by Yamaguchi Takahiro
3分でMLアプリを作る 〜推論コードにちょっとのStreamlitを添えて〜
nyk510
1
840
硬派で真面目なグラフを描く
nyk510
0
380
CORSをちゃんと理解する atmaバックエンド勉強会#4
nyk510
0
310
pythonで気軽にパッケージを作るのは良いという話。
nyk510
14
8.8k
RestAPIのページネーション atma バックエンド勉強会 #3
nyk510
0
510
AWS CPU Credit を完全に理解する
nyk510
0
330
atmaCup#8 Opening
nyk510
0
180
オンサイトデータコンペの魅力: 関わる全員が楽しいコンペ設計のための取り組み
nyk510
3
4.7k
atmaCup#5 solutionまとめ
nyk510
1
1.2k

Other Decks in Technology

See All in Technology
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
640
Kafka Streamsで作る10万rpsを支えるイベント駆動マイクロサービス
joker1007
7
2.3k
Kaggle Tokyo Meetup2023 CommonLit Solutionの紹介と考え方 - Fulltrain戦略と(Seed/Model)Ensembleの可視化 -
chumajin
2
800
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
160
なぜコピペで使うコンポーネント集を利用するのか?
mottox2
6
4.6k
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.2k
技術コミュニティ参加のすすめ
minorun365
PRO
4
270
cloudflare-workersを使ってslack上に匿名チャットを作った話
sugawani
0
130
從心開始的純軟之路
line_developers_tw
PRO
0
940
Making your Kubernetes-based log collection reliable & durable with Vector
palark
0
310
RDBを使う単体テストの前に 用意しておきたい環境を考え てみたの
bun913
0
400
スタートアップにおける、チーム拡大を見据えたコンポーネント分割の取り組み
rynsuke
2
770

Featured

See All Featured
Optimizing for Happiness
mojombo
368
68k
Clear Off the Table
cherdarchuk
81
300k
Happy Clients
brianwarren
91
6.1k
Music & Morning Musume
bryan
38
5.2k
How GitHub (no longer) Works
holman
299
140k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
52
19k
The Mythical Team-Month
searls
214
41k
A Tale of Four Properties
chriscoyier
150
22k
Being A Developer After 40
akosma
52
580k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
177
10k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k

Transcript

  1. Django のセキュリティリリー
    スを見る
    2022/10/26 nyk510

    View Slide

  2. Djangoはすごい! が頼り過ぎてる…?
    ● Djangoはフルスタックフレームワークでセキュリティについては心配ない、と思っている
    ● ただ実際にはたまにセキュリティインシデントが見つかってパッチが配布されている
    ● 具体的な中身とかどうやって開発されているとか知らない…おんぶにだっこ

    View Slide

  3. 今日の目的
    ● 今も残っている不具合を知る
    ● どういう方法で配布されているかの仕組みをしる

    View Slide

  4. Djangoのバージョン管理方法
    ● githubで管理されている
    ● 新しいバージョンができるとリリースのための tag が切られ公式サイトで通知される
    ● リリース一覧は https://docs.djangoproject.com/en/4.1/releases/ から見ることができる

    View Slide

  5. 最近のセキュリティ系のリリース
    Django 4.0.8 release notes https://docs.djangoproject.com/en/4.1/releases/4.0.8/ から拝借 (2022-10-16)

    View Slide

  6. 最近のセキュリティ系のリリース
    Django 4.0.8 release notes https://docs.djangoproject.com/en/4.1/releases/4.0.8/ から拝借 (2022-10-16)
    リリースページにセキュリティ issue であることがそのレベルと共に表記され

    - 高: リモートコード実行・ SQLインジェクション
    - 中: XSS・CSRFなどの攻撃系
    - 低: レアケースな設定の問題・未検証のリダイレクト問題等
    名前はCVE + わかりやすい説明と共に表記される。
    (国際化された URL における潜在的なサービス拒否の脆弱性 )

    View Slide

  7. CVEとは?
    情報セキュリティのおける脆弱性やインシデントに
    ついて固有の名前をつけて管理するデータベース
    昔は各種の団体やベンダーが独自報告して散逸して
    いることを問題視して作られた
    に作成せずCVEに統一されることで脆弱性の比較検
    討が容易になった(トノコト)
    https://www.cve.org/

    View Slide

  8. Django 4.0.8 に該当するページを調べるには?
    CVE から始まるIDで調べると出てくる
    ● https://www.cve.org/CVERecord?id=CVE
    -2022-41323
    先程よりも包括的な内容が記載されている
    ● django4.0.8以外でも修正されたことがわか

    内容と参照すべきリンクが記載されている
    ● 今回の場合だとリリースがどこに影響があっ
    たかや、どこで修正がされたか (commit) な
    ども記載がある。

    View Slide

  9. どういう内容だった?
    CVEのページに当該修正の commit log がある:
    https://github.com/django/django/commit/5
    b6b257fa7ec37ff27965358800c67e2dd11c9
    24
    修正内容は1行 (というより10文字ぐらい)・
    re.escape を追加するところ

    View Slide

  10. どういう内容だった?
    ● 言語指定に正規表現が受け付けられていた
    ● 内部に正規表現で意味がある単語が利用さ
    れるとクラッシュする
    ○ 例えば `e(` などをリクエストされたと
    き [re.error: missing ),
    unterminated subpattern at
    position 1] となる
    ● これによりDDos攻撃などに弱くなる

    View Slide

  11. 番外編: もしセキュリティ関連のミスを見つけたら?
    ● Djangoのissueを作らずメールせよとのこと
    ● 公にセキュリティの不備が知られるとまずいのでそうなってる

    View Slide