株式会社ずんだもん技術室AI放送局 podcast 20240709
内容紹介
AIやテクノロジーに関する記事を紹介 、食べログの大規模販売管理システムを財務会計SaaSシステムに置き換えた話、危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 セキュリティブログ 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
出演者
関連リンク
このドキュメントは、Google Researchの公式ブログへのリンク集です。ブログ記事では、機械学習、自然言語処理、コンピュータビジョン、量子コンピューティングなど、さまざまな分野におけるGoogleの研究成果が紹介されています。具体的には、デバイス上で動作するテキストから画像を生成するMobileDiffusion、大規模言語モデルにおける選択的予測のためのASPIRE、診断医療推論と会話のためのAIシステムAMIE、混合入力行列乗算のパフォーマンス最適化、グラフ構造データのためのExphormerなど、最新の研究成果が取り上げられています。これらの研究成果は、エンジニアにとって非常に興味深い内容であり、今後の研究開発に役立つ可能性があります。
引用元: https://ai.googleblog.com/2023/07/ai-ai-sudo-lang.html
この記事は、食べログが販売管理システムをSaaSのZuoraに置き換えたプロジェクトの記録です。従来のシステムは内製で管理されていましたが、業務の複雑化による開発効率の低下や障害発生のリスクなど、多くの課題を抱えていました。そこで、Zuoraの導入により、サブスクリプションデータモデルを活用し、販売、契約管理、請求計算・発行など、幅広い業務の自動化を実現しました。
プロジェクトでは、まず現状の業務やシステムを徹底的に分析し、理想的なデータモデルを検討しました。その後、Zuoraのデータモデルに合わせてシステムを設計し、開発を進めました。データ移行においては、10日間の業務停止期間を設ける代わりに、Zuoraと既存システムを並行稼働させるという方法を採用することで、安全にリリースすることができました。
データの整合性検証には、データプールを活用し、Zuoraと稼働中の本番データとの突合バッチを毎日実行することで、不整合を検知し修正を行いました。このデータプールは、参照系APIの処理の高速化など、様々な場面で活用されました。
最終的には、Zuoraと既存システムを連携させ、安定したシステムを構築することができました。Zuoraの導入により、商品追加やキャンペーンへの対応工数が減り、営業チャンスを逃すことなく事業展開ができるようになり、業務効率が大幅に向上しました。
プロジェクトを通して、システムの設計・開発・運用における様々な課題と対策が紹介されています。特に、大規模なシステム改修においては、現状の業務やシステムを正確に把握し、段階的なリリース計画を立てることの重要性が強調されています。
引用元: https://tech-blog.tabelog.com/entry/zuora-project-path-to-subscription-model
GMOサイバーセキュリティのエンジニアが、Ruby on RailsのActive Storageモジュールにおける脆弱性CVE-2024-26144を発見しました。この脆弱性は、Rails 5.2.0から7.1.0のバージョンに影響し、Active StorageのProxy Modeでファイルがキャッシュされる際に、セッションCookieが誤ってキャッシュされてしまう可能性があります。
これは、キャッシュサーバがHTTPレスポンス全体をキャッシュし、Set-Cookie
ヘッダを含むことで、別のユーザーが同じセッションを共有してしまう可能性があるためです。
この脆弱性により、攻撃者はログインしていないユーザーになりすまして、機密情報にアクセスできてしまう可能性があります。
調査の結果、Nginx + Passenger、Apache + mod_cache、HAProxyなどのリバースプロキシでは、Set-Cookie
ヘッダがキャッシュされてしまうことが確認されました。
特に、Railsと連携して利用されることが多いPassengerでは、Turbocachingという機能がデフォルトで有効になっており、最大2秒間キャッシュが保持されます。そのため、RailsとPassengerを両方利用している場合は、この脆弱性の影響を受ける可能性が高くなります。
この脆弱性を防ぐには、Railsのバージョンを最新版にアップデートすることが推奨されます。また、CDNやリバースプロキシの設定を見直し、Set-Cookie
ヘッダがキャッシュされないようにする必要があります。
今回の調査結果について、GMOサイバーセキュリティは、Webペネトレーションテストを提供しており、ソースコードを共有することでより精度の高い調査を実施することが可能です。
引用元: https://gmo-cybersecurity.com/blog/rails-vulnerability-cache-cookies/
(株式会社ずんだもんは架空の登場組織です)