25th Mon

[Updated] REXMLの脆弱性への対応

ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、
以下のように対処しました。

Gemをインストール
pre>>

gem install rexml-expansion-fix

<<--
2. ライブラリを読み込む
ruby>>
require 'rexml-expansion-fix'
<<--

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexml-expansion-fix

Gemをインストールした後、以下のようにconfig/environment.rb似記述します。

ruby>>
config.gem 'genki-rexml-expansion-fix',
:lib => 'rexml-expansion-fix',
:source => 'http://gems.github.com'
<<--

See Also

DoS Vulnerabilities in REXML

posted by

genki on Mon 25 Aug 2008 at 07:15 with 2 comments

瀧内元気 08/25 10:06

どうやらこのGemだけでは解決しないらしい。

もうちょっと原因を調査してみます。

瀧内元気 08/25 10:11

原因がわかったのでこれから対応します。

情報Thx! id:secondlife

Search

Contents: 光ファイバーを二次元振動させて走査するAR用ディスプレイ; 因果の取り違え; Swift2's defer for CoffeeScript; mongodb-3.0からcreateIndexのdropDupsが無くなったらしい; mongodb-3.0以降のWiredTigerの設定を動的に変更する方法; 一般楕円の高速生成アルゴリズムへの道標; farro mantecatoのレシピ; Droonga関連の記事のまとめ; RuntimeErrorの特定のメッセージに限定してrescueする方法; jQueryでscriptタグを実行せずにappendする

Tags: coffeescript defer groonga js memo node nodejs

Comments: 瀧内元気: MacOS版は以下にあります * [genki/ViMouse](https://github.c... 01/16 05:40; dsjf: https://gist.github.com/6bf1bf2c3cbb5eb6e7a7 これでも出... 01/08 23:23; 瀧内元気: おお、チェックしてみます。thx! 12/24 05:23; overisland: Reeder for iPhone もこの UI を実装していますね。 12/24 05:13; 瀧内元気: その情報は見たのですが、以下のサイトによると、現在はまた必要になってるっぽいんですよね。 * <... 12/01 12:20; tkawa: http://devcenter.heroku.com/articles/rails31_herok... 12/01 10:47; 瀧内元気: どもー。いまはgithubに置いてあります * <https://github.com/genk... 07/10 08:31; ともち: こんにちは！　すばらしいプログラムをありがとうございます。しかし、merbiのドメイン、切れているみ... 07/10 02:30