Ruby 1.8.x中BigDecimal的Dos漏洞_Ruby_Werner Schuster_InfoQ精选文章



 写点什么

登录/注册

在 Ruby 1.8.x 的所有版本中发现了一个易被 DoS 攻击的漏洞：

将 BigDecimal 对象转换成 Float 数的时候会导致一个问题，这个问题使得攻击者能够很容易得到段错误。
由于 ActiveRecord 即依赖于这个方法，所以大多数 Rails 应用程序都会被影响到。虽然这个并不只是 Rails 的问题。

Riding Rails 博客也指出了这个漏洞：

即将发布的 Rails 2.3.3 将会有一些小改动，减少了一些这个漏洞中可能被攻击的 vectors 数量。但是这些改动不会关闭每一个可能遭受攻击的方法，用户仍然需要不断尽快升级升级他们的 Ruby 安装程序。

这篇博文同样指向了了 NZkoz 的 bigdecimal-segfault-fix，无法升级 Ruby 的用户的一个临时修复方法这篇文章，这也是一个解决办法，但是这个修正版本可能会破坏应用程序，所以升级是唯一一个合适的解决方法。

所有的 Ruby 1.8.x 版本都被影响了，第一个修正的 Ruby 版本是Ruby 1.8.6-p369（ 1.8.6 FTP 下载链接）和Ruby 1.8.7-p173（ 1.8.7 FTP 下载链接）。

JRuby貌似也被影响了。 Bug JRUBY-3744 跟踪了这个问题：

JRuby 貌似也同样被影响了。它不会崩溃，但是会陷入无限循环中。

这个样例输出记录了这种行为。

一个实验的结论揭示了在 bigdecimal-segfault-fix 中使用的解决方法是一个临时的解决方法，因为它仅仅是修改了 BigDecimal 类，然后在使用过大的数的时候抛出异常。但是在 JRuby 中，这种代码却失败了，而不是保持 JRuby 线程继续工作；很显然这种代码的修改不能够支持更大的数。

Ruby 1.9.x的用户不会被影响。

查看英文原文： DoS Vulnerability in BigDecimal

评论

发布

暂无评论

Mac电脑(苹果电脑)非App Store软件如何安装？

敏捷开发最佳实践：自驱团队实践案例之心情曲线回顾会

爱吃小舅的鱼

敏捷开发敏捷实践

运行Adobe应用提示非正版This non-genuine Adobe app has been disabled soon如何解决

苹果电脑/macbook查看已连接wifi密码的两种简单方法

Mac电脑怎么设置动态桌面，heic动态桌面壁纸怎么使用

Smartproxy谷歌代理插件与Chrome扩展的操作指南

摘星星的猫

苹果电脑Mac教程：如何开启任何来源选项

Mac上软件闪退(意外退出)的解决方法

合合信息携手业界专家，解码数据资产管理方法与入表的关键路径

合合技术团队

合合信息数据资产管理

网络安全软件堡垒机推荐行云管家云堡垒机！

网络安全数字化数据安全堡垒机

理解 Webhook 和 API：详细导读

程序员前端后端 API WEBHOOKS

Flink作业的逻辑与物理拓扑详解

flink 实时计算

国家网络与信息系统安全产品质量检验检测中心是什么机构？成立于一年？有什么用？

网络安全等保等保测评等级测评

autocad2020 mac中文版安装教程，cad2020破解教程