Ruby发现众多安全缺陷，Safe Level、WEBrick、Dl和DNS查找皆受影响_Ruby_Werner Schuster_InfoQ精选文章



 写点什么

登录/注册

其中的一个问题来自 safe levels 。通过设置 safe level，可以禁止操作和定义被认为是污染了的数据。Ruby 中的污染数据（Tainted Data）在使用前必须显式的净化。被发现的安全缺陷有：- untrace_var 在 safe level 4 是允许的

$PROGRAM_NAME 在 safe level 4 是可以修改的
不安全的方法在 safe level 1-3 可能可以调用
Syslog 操作在 safe level 4 是允许的

请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于 dl。dl 程序库允许用户载入动态库并调用其中的函数。因为 dl 并没有检测传入参数的被污染程度，因此可以借此来实现缓冲区溢出（exploits）攻击。

在 WEBrick 中也发现了安全缺陷，这可能会导致拒绝服务（DoS）攻击。问题源自用于响应和解析 HTTP 头的部分代码导致──在特定的数据下，正则引擎会挂掉导致程序终止。

对于 1.8.x 的用户，解决方法是升级至 1.8.6-p286 和 1.8.7-p71。对于 1.9.x 的 Ruby 用户，似乎当前最好的解决方法就是从 SVN 中取得最新的代码──所有在 r18423 之后的版本应该都是安全的。

最后，提醒一句：虽然最近发现的 Ruby 解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前，要对升级进行仔细的测试。

评论

发布

暂无评论

PrecisionFDA：多组学样本错标校正挑战赛

数据分析 PrecisionFDA

面部表情识别技术在社交互动中的应用

Sentieon | 每周文献-Gene Editing（基因编辑）-第六期

数据分析基因测序基因编辑

Sentieon | 应用教程: 使用DNAscope对HiFi长读长数据进行胚系变异检测分析

教程分享 Hifi DNAscope

数据分析实战│时间序列预测

数据挖掘算法数据分析

如何构建 Sidecarless 模式的高性能服务网格

阿里巴巴云原生

阿里云云原生 asm

提升UMI分析精度和计算效率：Sentieon UMI分子标记处理模块

umi 基因数据分析技术服务

Sentieon数据质控QC模块介绍

数据分析 QC 质控工具

富士胶片公司完成阿里云 PolarDB 数据库开源产品兼容适配

阿里云数据库开源

polarDB PolarDB for PostgreSQL 阿里云PolarDB

面部表情识别的技术挑战与解决方案

Sentieon | 每周文献-Epidemiology（流行病学）-第五期

基因测序基因数据分析流行病学

如何构建适合自己的DevOps软件测试改进方案

DevOps和数字孪生

一文读懂 Nuxt.js 服务端组件

树上有只程序猿

Sentieon发布RNAseq加速分析方案

数据分析基因测序 RNAseq

08.25 北京站｜阿里云 Serverless 技术实践营（ AI 专场）开放报名

阿里巴巴云原生

阿里云 Serverless 云原生

小灯塔系列-中小企业数字化转型系列研究——协同OA测评报告

八月更新 | CI 构建计划触发机制升级、制品扫描 SBOM 分析功能上线！

华为云828企业节：助力精细化运营，提升开发效率

小程序云主机云服务器网站建设云电脑

Sentieon软件应用之公共卫生机构

公共卫生基因数据分析

面部表情识别技术的神经科学基础

Apache Dubbo 和 Apache RocketMQ 邀您参与，ASF 亚洲峰会 5 张门票免费送

阿里巴巴云原生

阿里云云原生

茶桁的AI秘籍 - 人工智能数学基础篇导言

人工智能数学 math

What's new in Pika v3.5.0

apache/dubbo-go

数据库 redis kv Redis 7 KV存储

微服务引擎 MSE 全新升级，15 分钟快速体验微服务全栈能力

阿里巴巴云原生

阿里云微服务云原生

从孤勇者到边缘云行业翘楚，网心科技做对了什么？