セキュリティ: 3月26日のbootstrap-sass gem 3.2.0.3に危険なコードが含まれていた(影響を受けるサイトは少ない可能性)

訂正(2019/04/05): タイトル後半を「影響は小さい可能性」->「影響を受けるサイトは少ない可能性」に修正しました。また、「はじめに」のパラグラフを修正・追記いたしました🙇。 はじめに 3月26日に公開されていたbootstrap-sass gem 3.2.0.3に危険なコードが含まれていたという情報を記事にしました。 公開されていた期間が短かったこともあり、直接の影響範囲は小さい直接影響を受けるサイトは少ない可能性がありますが、取り込んでしまった場合の脆弱性が大きいため、最近bundle updateを行った方などは一度チェックしてみるとよいでしょう。詳しくは以下の元記事Bなどをご覧いただくようお願いします。 本記事は2019/04/05時点の情報に基づいています。 Ruby Weekly Issue 444: April 4, 2019 今朝公開されたRuby Weekly↑のトップに以下の元記事Aが掲載されていました。 元記事A: Malicious Package in bootstrap-sass | Snyk 詳しい元記事B: Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem | Snyk 追記(2019/04/05) rubysec/ruby-advisory-dbにも登録されました↓。 Add CVE-2019-10842 - remote code execution in bootstrap-sass by eoinkelly · Pull Request … Continue reading セキュリティ: 3月26日のbootstrap-sass gem 3.2.0.3に危険なコードが含まれていた(影響を受けるサイトは少ない可能性)