August 2008
JulySeptember
25th Mon

[Updated] REXMLの脆弱性への対応

ruby-lang.orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、
以下のように対処しました。

  1. Gemをインストール
    pre>>

gem install rexml-expansion-fix

<<--
2. ライブラリを読み込む
ruby>>
require 'rexml-expansion-fix'
<<--

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexml-expansion-fix

Gemをインストールした後、以下のようにconfig/environment.rb似記述します。

ruby>>
config.gem 'genki-rexml-expansion-fix',
:lib => 'rexml-expansion-fix',
:source => 'http://gems.github.com'
<<--

See Also

posted by genki genki on Mon 25 Aug 2008 at 07:15 with 2 comments
瀧内元気 瀧内元気 08/25 10:06
どうやらこのGemだけでは解決しないらしい。

もうちょっと原因を調査してみます。
瀧内元気 瀧内元気 08/25 10:11
原因がわかったのでこれから対応します。

情報Thx! id:secondlife
Contents rssrss
光ファイバーを二次元振動させて走査するAR用ディスプレイ
因果の取り違え
Swift2's defer for CoffeeScript
mongodb-3.0からcreateIndexのdropDupsが無くなったらしい
mongodb-3.0以降のWiredTigerの設定を動的に変更する方法
一般楕円の高速生成アルゴリズムへの道標
farro mantecatoのレシピ
Droonga関連の記事のまとめ
RuntimeErrorの特定のメッセージに限定してrescueする方法
jQueryでscriptタグを実行せずにappendする
Tags
coffeescriptdefergroongajsmemonodenodejs
Comments rssrss
https://toplinkup.com/gran-casino-costa-brava-lloret-de-mar-guide/ https://toplinkup.com/gran-casino-costa-brava-lloret-de-mar-guide/: Very helpful information. 05/13 00:52
https://wellboringgw.org/2026/05/12/2up-documents-powerful-solutions-for-your-needs/ https://wellboringgw.org/2026/05/12/2up-documents-powerful-solutions-for-your-needs/: Excellent write-up. 05/13 00:42
http://amazonrainforest.org/ActivityFeed/MyProfile/tabid/61/UserId/242621/Default.aspx http://amazonrainforest.org/ActivityFeed/MyProfile/tabid/61/UserId/242621/Default.aspx: Нi car lovers, haνe to mention a stellar [supercar... 05/13 00:26
https://kra36.vip https://kra36.vip: Если рассматривать подачу, можно увидеть, что эта ... 05/12 23:48
https://dolgoletmed.ru/articl/kak-manualnaya-terapiya-mozhet-pomoch-pri-zabolevaniyah-pozvonochnika-takih-kak-skolioz-i-gryzha-diska/ https://dolgoletmed.ru/articl/kak-manualnaya-terapiya-mozhet-pomoch-pri-zabolevaniyah-pozvonochnika-takih-kak-skolioz-i-gryzha-diska/: Полный курс или сеанс мануального массажа, его сто... 05/12 23:46
https://www.1337games.org/online-casinos/betaalmogelijkheden/afterpay/ https://www.1337games.org/online-casinos/betaalmogelijkheden/afterpay/: Лучшие порносайты предлагают высококачественный ... 05/12 22:55
https://www.thegameroom.org/de/sportwetten/neu/ https://www.thegameroom.org/de/sportwetten/neu/: Сексуальный контент широко доступен на специализ... 05/12 22:30
https://reelsaltwaterfishing.com https://reelsaltwaterfishing.com: Рилс казино 05/12 21:33