ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。 [**REXMLのDoS脆弱性**](http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/) >RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 問題に対処するためのGemがリリースされているようなので、 以下のように対処しました。 1. Gemをインストール pre>> # gem install rexml-expansion-fix <<-- 2. ライブラリを読み込む ruby>> require 'rexml-expansion-fix' <<-- また、RailsのPlugin Gemとして機能するものも作ってみました。 [**genki-rexml-expansion-fix**](http://github.com/genki/rexml-expansion-fix/tree/master) Gemをインストールした後、以下のように`config/environment.rb`似記述します。 ruby>> config.gem 'genki-rexml-expansion-fix', :lib => 'rexml-expansion-fix', :source => 'http://gems.github.com' <<-- **See Also** * [DoS Vulnerabilities in REXML](http://weblog.rubyonrails.com/2008/8/23/dos-vulnerabilities-in-rexml) ruby 脆弱性 gem memo 2 2008-08-25T07:18:18+00:00 735 blue_stole 813 82 2008-08-25T07:15:00+00:00 badfa5a2-4918-4238-a81f-0cd9d6bc3712 2008-08-25T11:11:53+00:00 1