August 2008
JulySeptember
25th Mon

[Updated] REXMLの脆弱性への対応

ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、
以下のように対処しました。

  1. Gemをインストール
    pre>>

gem install rexml-expansion-fix

<<--
2. ライブラリを読み込む
ruby>>
require 'rexml-expansion-fix'
<<--

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexml-expansion-fix

Gemをインストールした後、以下のようにconfig/environment.rb似記述します。

ruby>>
config.gem 'genki-rexml-expansion-fix',
:lib => 'rexml-expansion-fix',
:source => 'http://gems.github.com'
<<--

See Also

posted by genki genki on Mon 25 Aug 2008 at 07:15 with 2 comments
瀧内元気 瀧内元気 08/25 10:06
どうやらこのGemだけでは解決しないらしい。

もうちょっと原因を調査してみます。
瀧内元気 瀧内元気 08/25 10:11
原因がわかったのでこれから対応します。

情報Thx! id:secondlife
Contents rssrss
光ファイバーを二次元振動させて走査するAR用ディスプレイ
因果の取り違え
Swift2's defer for CoffeeScript
mongodb-3.0からcreateIndexのdropDupsが無くなったらしい
mongodb-3.0以降のWiredTigerの設定を動的に変更する方法
一般楕円の高速生成アルゴリズムへの道標
farro mantecatoのレシピ
Droonga関連の記事のまとめ
RuntimeErrorの特定のメッセージに限定してrescueする方法
jQueryでscriptタグを実行せずにappendする
Tags
coffeescriptdefergroongajsmemonodenodejs
Comments rssrss
https://Ecmacademy.it/blog/index.php?entryid=67981 https://Ecmacademy.it/blog/index.php?entryid=67981: Hoԝ to Choose tһe Right Mattress in Singapore: Α ... 05/17 11:09
https://kropkaporady.pl https://kropkaporady.pl: Great post. 05/17 10:04
https://xn--krken17-bn4c.com https://xn--krken17-bn4c.com: В заключительной части сформулированы выводы, что... 05/17 09:12
https://zgarcitul01.com https://zgarcitul01.com: Greate pieces. Keep writing such kind of info on y... 05/17 08:26
https://sites.google.com/view/0uhuev/ https://sites.google.com/view/0uhuev/: Can I simply just say what a relief to discover so... 05/17 07:10
https://linkora.ai/forums/users/paulinaimp/ https://linkora.ai/forums/users/paulinaimp/: Hello luxury cаr lovers, stumbled օn a amazing [Be... 05/17 02:41
http://blspt.net http://blspt.net: Greate pieces. Keep posting such kind of informati... 05/17 00:11
https://fancybox.qa/2026/04/25/discover-sheng-siong-promotions-and-deals-in-singapore-on-kaizenaire-com-33/ https://fancybox.qa/2026/04/25/discover-sheng-siong-promotions-and-deals-in-singapore-on-kaizenaire-com-33/: Kaizenaire.ϲom is yoսr Ƅest source іn Singapore fo... 05/16 21:48
Services from s21g
補助探
公開されている補助金・助成金情報を集約し、条件に合う制度を探しやすくするサービスです。
jotter.me
個人開発者のためのホスティング一体型ノートサービス
ハンドミラー
iPhone向けの手鏡アプリ
ツイプロ(twpro)
Twitterプロフィールの高速検索エンジン