ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、 以下のように対処しました。

  1. Gemをインストール
       1  # gem install rexml-expansion-fix
    
  2. ライブラリを読み込む
       1  require 'rexml-expansion-fix'
    

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexml-expansion-fix

Gemをインストールした後、以下のようにconfig/environment.rb似記述します。

   1  config.gem 'genki-rexml-expansion-fix',
   2      :lib => 'rexml-expansion-fix',
   3      :source => 'http://gems.github.com'

See Also

posted by Png genki on Mon 25 Aug 2008 at 07:18 with 2 comments

Comments:

Png 瀧内元気 over 15 years ago.

どうやらこのGemだけでは解決しないらしい。

もうちょっと原因を調査してみます。

Png 瀧内元気 over 15 years ago.

原因がわかったのでこれから対応します。

情報Thx! id:secondlife

or Preview
Social Bookmarks
  • Delicious
  • B_entry813
  • Clip_16_12_w
Services from s21g
twpro(ツイプロ)
Twitterプロフィールを快適検索
地価2009
土地の値段を調べてみよう
MyRestaurant
自分だけのレストラン手帳
Formula
ブログに数式を埋め込める数式コミュニティ