Railsdm 2019にフル参加しました: Rails脆弱性の「File Content Disclosure」の件ほか

こんにちは、hachi8833です。3/22〜3/23のRails Developers Meetup 2019に私を含むBPS社員総勢4名で参加いたしました。


railsdm.github.ioより

発表資料は上公式サイトに続々追加されてますので、詳しくはそちらにお譲りいたします。

今回の各発表内容については一度に扱おうとしても消化不良になるだけなので、今後のRailsウォッチなどで順次扱うこととし、今回は現場ならではのことを中心に書こうと思います。

JeremyのキーノートとRailsの「CVE-2019-5418」のrender :fileの脆弱性

Railsdm最終日オーラスのJeremy Daer氏(@jeremy)によるキーノートスピーチの中で、突然「CVE-2019-5418」の問題について言及されていたので、調べた範囲でここにまとめました。見落としや誤りなどありましたら@hachi8833までお知らせください。

当日までの流れ

まず、3/13にCVE-2019-5418を含む脆弱性修正情報がRails公式サイトの冒頭の記事で周知され、それを3/18に週刊Railsウォッチで簡単に取り上げました。この時点では「file content disclosure」という表記に一同首を傾げつつも、時間の関係でそれ以上は追えませんでした。

その後週刊Railsウォッチ同号公開と同じ3/18に、ペパボさんが以下の記事を公開し、BPS社内Slackのrailsチャンネルでもざわつきが始まりました。

そしてRailsdm前日である3/21、GitHub Gistに以下の記事↓が公開され、その中で秘密鍵が漏れる可能性についても指摘があるとともに、実は「file content disclosure」ではなく「remote code execution(RCE)」ではないかという疑問が呈されました。

Railsdm当日

そしてJeremyのキーノートスピーチのスライドで、突然「File Content Disclosure Remote Code Execution」という文字が大写しになって会場に軽いどよめきが走り、この表記の件が解決したことを知りました。スライドの写真撮っておけばよかった😢。

そして今日3/25にmalaさんの上の記事をもう一度見ると、3/23に以下の書き込みがあることに気づきました。セキュリティ対応という大変なプレッシャーを伴う作業の中での訂正作業、本当にありがとうございます🙇!

そういえば、以前掲載した@tenderloveことAaron Patterson氏のインタビュー↓でも、セキュリティは対応そのものの他に周知という作業も大変というお話をされていました。

[インタビュー] Aaron Patterson(後編): Rack 2、HTTP/2、セキュリティ、WebAssembly、後進へのアドバイス(翻訳)

今さらですが、jeremy氏のキーノートスピーチ(現時点では動画未公開)もRails 6の新機能を紹介しつつ、今後の青写真でRailsの将来について夢をかき立てる素晴らしい内容でした。これまでRailsウォッチの「先週の改修」で見逃してた機能がいくつも登場していました。

追記(2019/03/27)

jeremy氏のキーノートスピーチの動画も公開されました🎉。

追記(2019/03/25)

jeremyからOKをいただきましたので、2日目親睦会で撮らせていただいたツーショットをアップします。ありがとうございました!🙇。

DHHキーノート

今朝ほど、初日のDHHキーノートスピーチ、通称「DHHだけど質問ある?」の動画が公開されました↓。こちらもRails開発者にとってDHHがRailsの設計をどう考えているか、JavaScript方面をどう思っているかなどを知るうえで必聴の動画だと思います。

自動字幕付きですよ❤️。

ついでに書いてしまいますが、以下のように動画下右の「」>「文字起こしを開く」をクリックすると右に文字起こしがリスト表示され、行をクリックするとその場面にジャンプできます。これでサクサク飛ばして読めますね😋。


youtube.comより

なお、以下のサイトを使えば字幕テキストをあっさりダウンロードできます。RailsがRiosになってたりSPAがESPYになってたりしますが、そこはご愛嬌ということで。

詳しくは動画に譲りますが、スピーチを聞いたときは、JavaScript関連で「exaggerated」(誇張されてる)という日本人には聞き取りにくい単語が何度か出てきたのと、amatsudaさんがSPAやマイクロサービスの質問を振ったときに「これって何かの罠だったりしない?😅」みたいな感じでDHHが軽く苦笑いしてたのが印象的でした。

頑張ってメモを取っている方もいらっしゃったんですね(ツイート)(記事に埋め込めませんでした😢)。

Rails Developers Meetupは今回が最後 -> そしてRailsKaigiへ

締めくくりはRails Developers Meetupを主催するカルパスさん(@yoshi_hirano)からRailsdmの今後について簡単にお知らせがありました。Railsdmは2017年の開催以来、かるぱすさんがほとんど一人に近い状態で超人的な力を発揮して運営していましたが、今回をもって最後というお知らせがありました。

最終回であることについては以前からお話を伺っていたので承知はしていましたが、本当に頭の下がる思いです。昨年にTechRachoとしてRailsdmのセッションで発表ができたのも、カルパスさんからのお誘いがあればこそでした。本当にありがとうございます&お疲れさまでした!🙇

そして最後の最後は「実はrailskaigi.orgというドメインを取りました」「今後はRailsKaigiという名前で装いも新たにやってみたいと考えているので、一緒に運営してくれる方を絶賛募集いたします」とのお知らせがありました🎉。私たちもぜひ応援したいと思います!

主催者の皆さま、スポンサー各社の皆さま、参加した皆さま、お疲れさまでした&ありがとうございました!🙇

おまけ1

個別に言及するときりがないので、当日最も盛況だった発表のスライドを1つだけ貼ります。

おまけ2

おまけ3

2日目最初の「100回死んだエンジニア」が、予想を超えて翻訳の話をいろいろできたのが個人的に大変うれしく思いました。

ついでに、Sandi Metzの『オブジェクト指向設計実践ガイド』の原著が「プードル本」と呼ばれていることを初めて知りました。


2日目親睦会の後、会場最寄りのHubで軽く2次会にお邪魔しました。乗換案内アプリで死を宣告され、危うく終電を逃すところでしたが、どういうわけか奇跡的に終電に間に合いました。

関連記事

「TechRachoの舞台裏」をRails Developers Meetup 2018で発表してきました

デザインも頼めるシステム開発会社をお探しならBPS株式会社までどうぞ 開発エンジニア積極採用中です! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

hachi8833

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。 これまでにRuby on Rails チュートリアル第2版の監修および半分程度を翻訳、Railsガイドの初期翻訳ではほぼすべてを翻訳。その後も折に触れて更新翻訳中。 かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。 実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。 仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.muに移転。

hachi8833の書いた記事

BPSアドベントカレンダー

週刊Railsウォッチ