REXMLã®DoS脆弱性Posted by Shugo Maeda on 23 Aug 2008 Rubyã®æ¨™æº–ライブラリã«å«ã¾ã‚Œã¦ã„ã‚‹REXMLã«ã€DoS脆弱性ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚ XML entity explosion attackã¨å‘¼ã°ã‚Œã‚‹æ”»æ’ƒæ‰‹æ³•ã«ã‚ˆã‚Šã€ãƒ¦ãƒ¼ã‚¶ã‹ã‚‰ä¸Žãˆã‚‰ã‚Œ ãŸXMLを解æžã™ã‚‹ã‚ˆã†ãªã‚¢ãƒ—リケーションをサービスä¸èƒ½(DoS)状態ã«ã™ã‚‹ã“㨠ãŒã§ãã¾ã™ã€‚ Railsã¯ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã®çŠ¶æ…‹ã§ãƒ¦ãƒ¼ã‚¶ã‹ã‚‰ä¸Žãˆã‚‰ã‚ŒãŸXMLを解æžã™ã‚‹ãŸã‚ã€å¤§éƒ¨åˆ†ã® Railsアプリケーションã¯ã“ã®æ”»æ’ƒã«å¯¾ã—ã¦è„†å¼±ã§ã™ã€‚ 影響 攻撃者ã¯ã€ä»¥ä¸‹ã®ã‚ˆã†ã«å†å¸°çš„ã«ãƒã‚¹ãƒˆã—ãŸå®Ÿä½“å‚照をå«ã‚€XML文書をREXML㫠解æžã•ã›ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€ã‚µãƒ¼ãƒ“スä¸èƒ½(DoS)状態を引ãèµ·ã“ã™ã“ã¨ãŒã§ãã¾ã™ã€‚ <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
Rubyã®æŠ€è¡“者èªå®šè©¦é¨“ãŒ10月開始,2008å¹´ã«ã¯ä¸–ç•Œã«å‘ã‘英語版も
{{#tags}}- {{label}}
{{/tags}}