読者です 読者をやめる 読者になる 読者になる

てきとうなメモ

本の感想とか技術メモとか

脆弱性を突いてGitHubにアクセスしたユーザがGithubアカウントを一時停止される

Rails Security

At 8:49am Pacific Time this morning a GitHub user exploited a security vulnerability in the public key update form in order to add his public key to the rails organization. He was then able to push a new file to the project as a demonstration of this vulnerability.

As soon as we detected the attack we expunged the unauthorized key and suspended the user.

Public Key Security Vulnerability and Mitigation · GitHub

Railsのマスターに作成されたファイルはこれかな。これを実行してアカウントを停止されたEgor HomakovGitHubを批判?している。

Yes I behaved like a jerk. But why you suspended my account? Oh yea, Terms.
But, let's get it real. It is not the way you were supposed to fix things.

Egor Homakov: i'm disappoint, github

コメント欄にはHomakovはこちら脆弱性を報告しているのにひどいという意見も見られる。

しかし、GitHubによると経緯は以下のとおりである。

Three days ago, user @homakov opened an issue on rails/rails about the prevalence of the mass-assignment vulnerability. Two days ago he responsibly disclosed a security vulnerability to us and we worked with him to fix it in a timely fashion. Today, he found and exploited the public key form update vulnerability without responsible disclosure. For this reason we temporarily suspended his account for violation of section A8 of the GitHub Terms of Service pending a full investigation into what happened. Now that we've had a chance to review his activity, and have determined that no malicious intent was present, @homakov's account has been reinstated.

Responsible Disclosure Policy · GitHub
  1. Homakovは3日前にmass-assignmentの脆弱性についてrailsGitHubにissueを作成した
  2. Homakovは2日前にGitHub側にもこの脆弱性を知らせて、HomakovとGitHubは一緒に修正に取り組んだ
  3. 今日、Homakovは公開鍵のフォームの更新の脆弱性を見つけ公開せずにそれを利用してアクセスした
  4. このため、利用規約のA8項の違反のため、調査が終わるまでHomakovのアカウントを一時停止した。
  5. Homakovに悪意はないと判断したので、Homakovのアカウントを復活させた

ということらしい。これを読む限りGitHubの対応は妥当ではないかと思う。

(追記) Rails脆弱性というよりかRailsの仕様によってRailsアプリが脆弱性を持つ可能性が高まるという方が正しい気がするのでタイトルを変更