ruby-lang.
RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。
問題に対処するためのGemがリリースされているようなので、 以下のように対処しました。
- Gemをインストール
1 # gem install rexml-expa
nsion-fix - ライブラリを読み込む
1 require 'rexml-expa
nsion-fix'
また、RailsのPlugin Gemとして機能するものも作ってみました。
Gemをインストールした後、以下のようにconfig/env
似記述します。
1 config.gem 'genki-rexml-expansio n-fix', 2 :lib => 'rexml-expa nsion-fix', 3 :source => 'http://gem s.github.c om'
See Also
posted by
genki
on Mon 25 Aug 2008
at 07:18
with
2 comments
どうやらこのGemだけでは解決しないらしい。
もうちょっと原因を調査してみます。
原因がわかったのでこれから対応します。
情報Thx! id:secondlife