写点什么

Ruby 发现众多安全缺陷,Safe Level、WEBrick、Dl 和 DNS 查找皆受影响

  • 2008-08-11
  • 本文字数:504 字

    阅读完需:约 2 分钟

其中的一个问题来自 safe levels 。通过设置 safe level,可以禁止操作和定义被认为是污染了的数据。Ruby 中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:- untrace_var 在 safe level 4 是允许的

  • $PROGRAM_NAME 在 safe level 4 是可以修改的
  • 不安全的方法在 safe level 1-3 可能可以调用
  • Syslog 操作在 safe level 4 是允许的

请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于 dl。dl 程序库允许用户载入动态库并调用其中的函数。因为 dl 并没有检测传入参数的被污染程度,因此可以借此来实现缓冲区溢出(exploits)攻击。

在 WEBrick 中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析 HTTP 头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。

对于 1.8.x 的用户,解决方法是升级至 1.8.6-p286 和 1.8.7-p71。对于 1.9.x 的 Ruby 用户,似乎当前最好的解决方法就是从 SVN 中取得最新的代码──所有在 r18423 之后的版本应该都是安全的。

最后,提醒一句:虽然最近发现的 Ruby 解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前,要对升级进行仔细的测试。

2008-08-11 22:06992
用户头像

发布了 80 篇内容, 共 21.0 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

演唱会真假难辨?一招揭密声纹技术丨ZA科技事儿

ZA技术社区

大数据 AI 声纹识别

1688订单详情对接及实现方案

Noah

什么是shell?

小魏写代码

聊天记录年度报告一览无余:轻松多格式导出永久保存,深度智能分析

汀丶人工智能

人工智能 自然语言处理 深度学习 AIGC 报告生成

国泰航空开发基于 MongoDB 和 Device Sync 的机上移动应用

极客天地

Go语言实现GoF设计模式:适配器模式

华为云开发者联盟

开发 华为云 GoF设计模式 华为云开发者联盟

数仓调优实践丨多次关联发散导致数据爆炸案例分析改写

华为云开发者联盟

大数据 华为云 华为云GaussDB 华为云开发者联盟 华为云GaussDB(DWS)

每日一题:LeetCode-98. 验证二叉搜索树

Geek_4z9ami

面试 算法 LeetCode 二叉树 DFS

ChatGPT也宕机了?如何预防DDOS攻击的发生

Finovy Cloud

黑客 网络安全 机房 DDoS 黑客攻击

程序员的护城河是什么 ?

易程

个体成长

软件测试/人工智能丨UIDiff检测技术

测试人

人工智能 软件测试

测试用例设计方法六脉神剑——第三剑:倚天屠龙,正交试验冲锋 | 京东物流技术团队

京东科技开发者

测试 测试用例 正交试验

好用的电子书生成工具:Vellum 激活最新版

胖墩儿不胖y

Mac软件 电子书制作工具 电子书管理软件

1688订单详情接口使用指南:含代码实现获取订单信息

Noah

大模型元年压轴盛会定档12月28日,第十届WAVE SUMMIT即将启航

herosunly

大模型元年压轴盛会定档12月28日,第十届WAVE SUMMIT即将启航

爱编程的喵喵

Guardrails for Amazon Bedrock 基于具体使用案例与负责任 AI 政策实现定制式安全保障(预览版)

亚马逊云科技 (Amazon Web Services)

人工智能 re:Invent 生成式人工智能 Amazon Bedrock Amazon CloudWatch

2023 ACDU 中国行 · 西安站 | 数据库技术发展及实践

KaiwuDB

KaiwuDB ACDU 中国行

TDengine 签约大唐水电院,助力水电时序数据高效写入存储查询

TDengine

tdengine 时序数据库

PAM案例——某大型医院

尚思卓越

数据库 运维 安全

Ruby发现众多安全缺陷,Safe Level、WEBrick、Dl和DNS查找皆受影响_Ruby_Werner Schuster_InfoQ精选文章