AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

Ruby 发现众多安全缺陷,Safe Level、WEBrick、Dl 和 DNS 查找皆受影响

  • 2008-08-11
  • 本文字数:504 字

    阅读完需:约 2 分钟

其中的一个问题来自 safe levels 。通过设置 safe level,可以禁止操作和定义被认为是污染了的数据。Ruby 中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:- untrace_var 在 safe level 4 是允许的

  • $PROGRAM_NAME 在 safe level 4 是可以修改的
  • 不安全的方法在 safe level 1-3 可能可以调用
  • Syslog 操作在 safe level 4 是允许的

请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于 dl。dl 程序库允许用户载入动态库并调用其中的函数。因为 dl 并没有检测传入参数的被污染程度,因此可以借此来实现缓冲区溢出(exploits)攻击。

在 WEBrick 中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析 HTTP 头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。

对于 1.8.x 的用户,解决方法是升级至 1.8.6-p286 和 1.8.7-p71。对于 1.9.x 的 Ruby 用户,似乎当前最好的解决方法就是从 SVN 中取得最新的代码──所有在 r18423 之后的版本应该都是安全的。

最后,提醒一句:虽然最近发现的 Ruby 解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前,要对升级进行仔细的测试。

2008-08-11 22:061024
用户头像

发布了 80 篇内容, 共 21.2 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

一文带你快速上手云日志服务

华为云PaaS服务小智

云计算 运维 日志管理

上海靠谱的前端培训机构有没有推荐

小谷哥

直播继续!华为云Solution as Code一键高效上云,解决方案开箱即用

科技怪授

华为云

浪潮 KaiwuDB 陈磊:布局数字能源,创新助力 “双碳”

KaiwuDB

Sovit3D引擎快速构建智慧变电站三维可视化系统

2D3D前端可视化开发

物联网 智慧变电站 智能变电站 数字孪生变电站 变电站可视化

终于被我发现了这个推特视频下载的方法!超级简单!支持苹果安卓双系统!

frank

推特视频下载

架构实战模块1作业

Geek_e3a35c

AngularJS进阶(四十一)AngularJS中使用Chart.js制折线图与饼图实例

No Silver Bullet

AngularJS 12月月更 Chart.js 折线图与饼图

面了40+岁的大叔,没有录用,并不是因为年龄

产品运营心经

工作经历 面试‘ 职场发展 大龄求职

AlibabaP8,耗时182天肝出来1015页分布式全栈手册

程序知音

Java 分布式 后端 java架构

【计算讲谈社】第十五讲|云端即时渲染:下一代互联网的算力基座?

大咖说

数字人 云游戏

喜报 | Bonree ONE 2.0荣获信通院“2022IT新治理年度明星产品”

博睿数据

可观测性 博睿数据 荣誉 ONE平台

java自学好还是培训好?

小谷哥

声网管浩森:元宇宙派对场景的最佳实践

声网

实践 元宇宙 RTE2022

下一个AI舞台,名叫煤矿

脑极体

大数据培训出来就业前景如何

小谷哥

AngularJS进阶(四十)创建模块、服务

No Silver Bullet

服务 模块 AngularJS 12月月更

华为云12·12直播EI专场即将开始,满足电商行业全场景搜索需求

科技怪授

华为云

Verilog的语句块

芯动大师

Verilog Verilog语法 Verilog语句块

震惊,WSL2居然可以挂载USB

吴脑的键客

WSL2 usb

AngularJS进阶(三十九)基于项目实战解析ng启动加载过程

No Silver Bullet

项目实战 AngularJS 12月月更 启动加载

来聊一聊 ElasticSearch 最新版的 Java 客户端

江南一点雨

Java elasticsearch springboot ES

打造算力新引擎!安擎上海智能制造基地正式运营

科技热闻

大数据培训工作就业前景怎么样

小谷哥

场景 | 大型电商企业运营管理数字化解决方案

九科Ninetech

几种数据库jar包获取方式

华为云开发者联盟

数据库 华为云 12 月 PK 榜 jar包

云原生 AI 的资源调度和 AI 工作流引擎设计分享

Baidu AICLOUD

AI工程化 异构计算 云原生AI 百度百舸

什么样的web前端培训靠谱?

小谷哥

关于K8s集群环境工作组隔离配置多集群切换的一些笔记

山河已无恙

k8s管理 K8s 多集群管理 12月月更

横空出世!阿里巴巴Spring全家桶实战笔记真香

Java永远的神

spring 源码 架构师 springboot SpringCloud

极客时间运维进阶训练营第八周作业

好吃不贵

Ruby发现众多安全缺陷,Safe Level、WEBrick、Dl和DNS查找皆受影响_Ruby_Werner Schuster_InfoQ精选文章