ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、 以下のように対処しました。

  1. Gemをインストール
       1  # gem install rexml-expansion-fix
    
  2. ライブラリを読み込む
       1  require 'rexml-expansion-fix'
    

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexml-expansion-fix

Gemをインストールした後、以下のようにconfig/environment.rb似記述します。

   1  config.gem 'genki-rexml-expansion-fix',
   2      :lib => 'rexml-expansion-fix',
   3      :source => 'http://gems.github.com'

See Also

posted by Png genki on Mon 25 Aug 2008 at 07:18 with 2 comments

Formulaは、数式や化学構造式をブログに貼り付けて共有するサービスです。

このたび、出力形式が透過PNGになりました。 以下のように、背景色が白以外の環境でもお使いいただけます。

ブラウザがIE6の場合、透過PNGを正しく扱えないため、 従来の非透過PNGと同様の出力となります。 IEPNGFix 2等を使うことで、IE6でも透過PNGを扱えるようになるようです。

今後の方向性としましては、

  • 黒背景用の白文字画像の生成
  • JavaScriptが利用不可能な環境で、IE6でも利用できるようにするために任意の背景色と前景色を指定して非透過PNGを生成する

等を予定しております。 今後ともよろしくお願いいたします。

posted by Png genki on Mon 25 Aug 2008 at 03:19
Contents
[Updated] REXMLの脆弱性への対応
Formulaが透過PNGを出力するようになりました
Comments
dsjf: https://gist.github.com/6bf1bf2c3cbb5eb6e7a7 これ... '13-1
瀧内元気: おお、チェックしてみます。thx! '11-12
overisland: Reeder for iPhone もこの UI を実装していますね。 '11-12
瀧内元気: その情報は見たのですが、以下のサイトによると、現在はまた必要になってるっぽいんですよね。 ... '11-12
tkawa: http://devcenter.heroku.com/articles/rails31_he... '11-12
Services from s21g
twpro(ツイプロ)
Twitterプロフィールを快適検索
地価2009
土地の値段を調べてみよう
MyRestaurant
自分だけのレストラン手帳
Formula
ブログに数式を埋め込める数式コミュニティ