在 Ruby 1.8.x 的所有版本中发现了一个易被 DoS 攻击的漏洞:
将 BigDecimal 对象转换成 Float 数的时候会导致一个问题,这个问题使得攻击者能够很容易得到段错误。
由于 ActiveRecord 即依赖于这个方法,所以大多数 Rails 应用程序都会被影响到。虽然这个并不只是 Rails 的问题。
Riding Rails 博客也指出了这个漏洞:
即将发布的 Rails 2.3.3 将会有一些小改动,减少了一些这个漏洞中可能被攻击的 vectors 数量。但是这些改动不会关闭每一个可能遭受攻击的方法,用户仍然需要不断尽快升级升级他们的 Ruby 安装程序。
这篇博文同样指向了了 NZkoz 的 bigdecimal-segfault-fix,无法升级 Ruby 的用户的一个临时修复方法这篇文章,这也是一个解决办法,但是这个修正版本可能会破坏应用程序,所以升级是唯一一个合适的解决方法。
所有的 Ruby 1.8.x 版本都被影响了,第一个修正的 Ruby 版本是Ruby 1.8.6-p369( 1.8.6 FTP 下载链接)和Ruby 1.8.7-p173( 1.8.7 FTP 下载链接)。
JRuby貌似也被影响了。 Bug JRUBY-3744 跟踪了这个问题:
JRuby 貌似也同样被影响了。它不会崩溃,但是会陷入无限循环中。
这个样例输出记录了这种行为。
一个实验的结论揭示了在 bigdecimal-segfault-fix 中使用的解决方法是一个临时的解决方法,因为它仅仅是修改了 BigDecimal 类,然后在使用过大的数的时候抛出异常。但是在 JRuby 中,这种代码却失败了,而不是保持 JRuby 线程继续工作;很显然这种代码的修改不能够支持更大的数。
Ruby 1.9.x的用户不会被影响。
查看英文原文: DoS Vulnerability in BigDecimal
评论