海外テック情報局

GitHubのセキュリティホールを攻略したユーザ

画像

3月初旬、GitHubがサイトの脆弱性を突かれてしまう騒動がありました。

Egor Homakov氏が、RailsアプリケーションでMass Assignment脆弱性として知られる問題に対して、より安全なアプローチを求めるチケットをGitHubのRailsプロジェクトに作成したことが発端です。

当初、このチケットはすぐにRejectされてしまい議論が進まなかったようですが、Mass Assignment脆弱性がGitHubにも存在していることを発見したHomakov氏は、危険性をアピールするためにGitHubの脆弱性を利用して未来の日付を持つチケットを作成したり、コミット権限のないRailsリポジトリにファイルをコミットしたり、といった手段に出たようです。

GitHub側では問題を確認した直後からHomakov氏のアカウントを一時停止して問題の修正にあたりましたが、この際、アカウントを停止した理由や説明が不足していたこともあり、ブログには失望のコメントが多く寄せられました。結局、GitHubはその日のうちに続報を掲載し、

  • 2日前にHomakov氏から連絡を受け、協力してGitHub上の脆弱性の修正にあたっていた
  • その後Homakov氏は別の脆弱性も発見したが、それをGitHubに連絡せずに利用した

という事態の流れと、利用規約に違反したためにHomakov氏のアカウントを一時的に停止して調査を行った旨が説明されました(なお、Homakov氏のアカウントは調査のあと、元に戻されています⁠⁠。

GitHubは一連の対応で透明性の欠ける対応だったことを謝罪し、今後セキュリティに関連するアカウント停止が混乱を招かないよう、セキュリティポリシに「Responsible Disclosure of SecurityVulnerabilities」というセクションを追加しました。その後はコメント欄にもGitHubの対応に好意的なコメントが寄せられており、何とか事態は落ち着いたようです。

URLhttps://github.com/blog/1068-public-key-security-vulnerability-and-mitigation

著者プロフィール

安藤祐介(あんどうゆうすけ)

数年間米国でのアフィリエイトサービスの開発に参加後、帰国。下北沢オープンソースCafeに出没しつつRedmineをCakePHPに移植するCandyCaneなどのオープンソース活動に従事。

Twitter:yando

小倉純也(おぐらじゅんや)

フリーランスのWebプログラマー生活を経て、QNYP,LLC.を創業しました。秋葉原を拠点にRails、Heroku、グラフDBを駆使したWebサービスを開発中!

Twitter:junya

マクラケン直子(まくらけんなおこ)

東京在住。サンフランシスコにあるブログサービススタートアップのアジア圏担当。最近は韓国語などのl10nプロジェクトサポートをやってます。

Twitter:naokomc

溝畑考史(みぞはたたかし)

米国New York在住、Social mediaな米国startupでFrontend engineerをしています。趣味はマラソンを走ること。最近は画像最適化ツールのsmush.pyをgithubにて開発中。

Twitter:beatak

おすすめ記事

記事・ニュース一覧