QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

REXML 发现严重 DoS 攻击漏洞──可通过动态补丁来修正

  • 2008-08-28
  • 本文字数:487 字

    阅读完需:约 2 分钟

XML 实体会引起 REXML 中一种新的 DoS 攻击。定义并使用递归嵌套实体的文档会造成实体的过度膨胀(escessive espansion),最终导致应用程序的瘫痪。Rails 的这个问题尤为明显,因为它是通过 REXML 解析进来的 XML 请求。因为这种情况默认就会发生,并且根据请求的文档类型儿有所差异,所以这种攻击对所有 Rails 应用都是一种威胁,除非那些应用禁用了自动处理用户 XML 的功能。

现在,所有 1.86-p287、1.97-p72 和 1.9.x 版本的 Ruby 都会存在这个问题。对当前的 JRuby 1.1.x 版本做了一个小测试,用它来解析某个 XML 文档样本,结果抛出了OutOfMemoryError 错误。(注意:这个问题只有在实体扩张时才会被触发,普通的解析是不会产生任何问题的──必须在能读取包含实体的文本节点时候才会发生这个问题)。

在未给 REXML 打补丁之前,是通过给 REXML 模块中的文档和实体类打动态补丁来弥补这个漏洞的。这个补丁主要是限制(此限制是可调的)了膨胀实体的数量,当超过了这个数量,则会抛出一个异常。

此漏洞的安全说明页面介绍了如何打补丁,从而确保不同版本的Rails 都适用。

查看英文原文: Critical REXML DoS Found - Monkey Patch Available as Fix

2008-08-28 07:47970

评论

发布
暂无评论
发现更多内容

理论 | 三天两夜,万字长文,吃透TCP/IP

简爱W

Java TCP

netty案例,netty4.1基础入门篇九《自定义编码解码器,处理半包、粘包数据》

小傅哥

Java Netty

netty案例,netty4.1中级拓展篇一《Netty与SpringBoot整合》

小傅哥

Java Netty

在java中使用SPI创建可扩展的应用程序

程序那些事

Java spi 可扩展程序 可扩展应用

世界很大,我想去看看

escray

学习 面试

netty案例,netty4.1基础入门篇一《嗨!NettyServer》

小傅哥

Java Netty

netty案例,netty4.1基础入门篇四《NettyServer收发数据》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1基础入门篇五《NettyServer字符串编码器》

小傅哥

Java Netty

netty案例,netty4.1基础入门篇十《关于ChannelOutboundHandlerAdapter简单使用》

小傅哥

Netty 小傅哥

没有亮点的简历,要用详历来弥补

escray

学习 面试 简历

netty案例,netty4.1基础入门篇八《NettyClient半包粘包处理、编码解码处理、收发数据方式》

小傅哥

Netty 小傅哥

netty案例,netty4.1中级拓展篇四《Netty传输文件、分片发送、断点续传》

小傅哥

Netty 小傅哥

netty案例,netty4.1基础入门篇二《NettyServer接收数据》

小傅哥

Java Netty 小傅哥

Stream 流

HeGuang

Java

netty案例,netty4.1基础入门篇零《初入JavaIO之门BIO、NIO、AIO实战练习》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1基础入门篇六《NettyServer群发消息》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1基础入门篇十一《netty udp通信方式案例Demo》

小傅哥

Java Netty

netty案例,netty4.1中级拓展篇二《Netty使用Protobuf传输数据》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1中级拓展篇三《Netty传输Java对象》

小傅哥

Java Netty 小傅哥

一把年龄,技术一般,怎么去面试

escray

学习 面试

netty案例,netty4.1基础入门篇七《嗨!NettyClient》

小傅哥

Netty 小傅哥

LeetCode题解:11. 盛最多水的容器,for循环双指针,JavaScript,详细注释

Lee Chen

大前端 LeetCode

netty案例,netty4.1基础入门篇三《NettyServer字符串解码器》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1基础入门篇十二《简单实现一个基于Netty搭建的Http服务》

小傅哥

Java Netty

性能优化-技术专题-并发编程

码界西柚

Java 多线程

PHP浮点数精度损失问题

架构精进之路

php 弱类型语言

netty案例,netty4.1中级拓展篇五《基于Netty搭建WebSocket,模仿微信聊天页面》

小傅哥

Java Netty 小傅哥

netty案例,netty4.1中级拓展篇六《SpringBoot+Netty+Elasticsearch收集日志信息数据存储》

小傅哥

Java Netty

API 中签名的使用

架构精进之路

接口安全

实战 | Vue + Element UI 页面创建

简爱W

Java 架构师

[租房]刚步入社会的小萌新,休想坑小妹妹,安排!

我是程序员小贱

REXML发现严重DoS攻击漏洞──可通过动态补丁来修正_Ruby_Werner Schuster_InfoQ精选文章