AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

REXML 发现严重 DoS 攻击漏洞──可通过动态补丁来修正

  • 2008-08-28
  • 本文字数:487 字

    阅读完需:约 2 分钟

XML 实体会引起 REXML 中一种新的 DoS 攻击。定义并使用递归嵌套实体的文档会造成实体的过度膨胀(escessive espansion),最终导致应用程序的瘫痪。Rails 的这个问题尤为明显,因为它是通过 REXML 解析进来的 XML 请求。因为这种情况默认就会发生,并且根据请求的文档类型儿有所差异,所以这种攻击对所有 Rails 应用都是一种威胁,除非那些应用禁用了自动处理用户 XML 的功能。

现在,所有 1.86-p287、1.97-p72 和 1.9.x 版本的 Ruby 都会存在这个问题。对当前的 JRuby 1.1.x 版本做了一个小测试,用它来解析某个 XML 文档样本,结果抛出了OutOfMemoryError 错误。(注意:这个问题只有在实体扩张时才会被触发,普通的解析是不会产生任何问题的──必须在能读取包含实体的文本节点时候才会发生这个问题)。

在未给 REXML 打补丁之前,是通过给 REXML 模块中的文档和实体类打动态补丁来弥补这个漏洞的。这个补丁主要是限制(此限制是可调的)了膨胀实体的数量,当超过了这个数量,则会抛出一个异常。

此漏洞的安全说明页面介绍了如何打补丁,从而确保不同版本的Rails 都适用。

查看英文原文: Critical REXML DoS Found - Monkey Patch Available as Fix

2008-08-28 07:47991

评论

发布
暂无评论
发现更多内容

架构师训练营 第三周作业(手写单例模式)

springH₂O

架构训练营

手把手教你如何在Windows安装Anaconda

计算机与AI

Python Anaconda

Week 7 作业一

黄立

区块链将颠覆和改变传统金融业底层逻辑

CECBC

区块链 数字经济

查漏补缺:166个最常用的Linux命令,哪些你还不知道?

小Q

Java Linux 程序员 操作系统 开发

架构师训练营 - 第三周学习总结

joshuamai

【涂鸦物联网足迹】物联网主流通信方式

IoT云工坊

人工智能 云计算 大数据 物联网 云平台

8张图带你分析Redis与MySQL数据一致性问题

Java架构师迁哥

在Idea中使用JUnit单元测试

jiangling500

单元测试 IDEA JUnit

架构师训练营 - 第 7 周课后作业(1 期)

阿甘

科学家联合提出基于区块链的追溯框架

CECBC

区块链 农业

一定要偷偷学,偷偷进步!腾讯内部首发Java多线程、高并发、设计模式“满级”笔记

Java架构追梦

Java 架构 面试 设计模式 多线程与高并发

GrowingIO 响应式编程探索和实践

GrowingIO技术专栏

响应式编程

WSL还是不错的

孙苏勇

WSL2 工具链 wsl

极客大学 - 架构师训练营 第七周作业

9527

架構師訓練營第 1 期 - 第 07 周總結

Panda

架構師訓練營第 1 期

架构师训练营 - 第三周课后练习

joshuamai

架构师训练营第 1 期 - 第七周总结

Todd-Lee

极客大学架构师训练营

架构师训练营第 1 期 - 第七周作业

Todd-Lee

极客大学架构师训练营

爆火!阿里P9用500多页手册搞定双十一高并发秒杀系统,绝了

996小迁

Java 架构 面试 高并发 秒杀系统

区块链追溯系统迎来新突破

CECBC

区块链 溯源 产品溯源

目标检测之YOLOv2

Dreamer

Week 7 性能优化总结

黄立

穿越时空的回响:华为欧洲创新日的蝴蝶振翅

脑极体

week3 代码重构 -作业一

杨斌

LeetCode题解:231. 2的幂,位运算取二进制中最右边的1,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

【涂鸦物联网足迹】涂鸦云平台全景介绍

IoT云工坊

人工智能 云计算 大数据 物联网平台 物联网

第三周作业

丁乐洪

https 握手失败问题排查全记录

程序员与厨子

nginx https 网络 HTTP 抓包

week3 代码重构 学习总结

杨斌

三、设计模式

Geek_28b526

REXML发现严重DoS攻击漏洞──可通过动态补丁来修正_Ruby_Werner Schuster_InfoQ精选文章