写点什么

Ruby 发现众多安全缺陷,Safe Level、WEBrick、Dl 和 DNS 查找皆受影响

  • 2008-08-11
  • 本文字数:504 字

    阅读完需:约 2 分钟

其中的一个问题来自 safe levels 。通过设置 safe level,可以禁止操作和定义被认为是污染了的数据。Ruby 中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:- untrace_var 在 safe level 4 是允许的

  • $PROGRAM_NAME 在 safe level 4 是可以修改的
  • 不安全的方法在 safe level 1-3 可能可以调用
  • Syslog 操作在 safe level 4 是允许的

请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于 dl。dl 程序库允许用户载入动态库并调用其中的函数。因为 dl 并没有检测传入参数的被污染程度,因此可以借此来实现缓冲区溢出(exploits)攻击。

在 WEBrick 中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析 HTTP 头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。

对于 1.8.x 的用户,解决方法是升级至 1.8.6-p286 和 1.8.7-p71。对于 1.9.x 的 Ruby 用户,似乎当前最好的解决方法就是从 SVN 中取得最新的代码──所有在 r18423 之后的版本应该都是安全的。

最后,提醒一句:虽然最近发现的 Ruby 解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前,要对升级进行仔细的测试。

2008-08-11 22:061188
用户头像

发布了 80 篇内容, 共 22.5 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

动态资源技术JSP|Java与Html的美好相遇

浅羽技术

Java html 服务端 jsp 三周年连更

华为云网站安全解决方案:守护您的网站,让安全无忧

YG科技

华为云:网络安全愈发重要,企业该如何保障自身业务安全?

YG科技

开源趣事~记给OpenHarmony提PR的那些事

Bob

开源 Open Harmony

华为云网站安全解决方案:守护企业数字化转型之路,提升业务效率与安全

YG科技

数据库、

项目讲解之常见安全漏洞

越长大越悲伤

Java Web 安全

DAYU200关闭自动息屏的几种方式

坚果

OpenHarmony 三周年连更

Java线程中的wait、notify和notifyAll解析

共饮一杯无

Java 多线程 三周年连更

HTTP事务的时延

阿泽🧸

三周年连更 HTTP时延

2023-04-18:ffmpeg中的hw_decode.c的功能是通过使用显卡硬件加速器(如 NVIDIA CUDA、Intel Quick Sync Video 等)对视频进行解码,从而提高解码效

福大大架构师每日一题

golang 音视频 ffmpeg 福大大

灵活应用Nginx Rewrite:实战经验与实用方法

小毛驴的烂笔头

nginx linux运维

IPv6域名软件

穿过生命散发芬芳

ipv6 三周年连更

尚能饭否|技术越来越新,我对老朋友jQuery还是一如既往热爱

浅羽技术

jquery 前端 Web 框架 三周年连更

华为云网站安全解决方案助力客户——构建风险全面可控的网站安全架构

YG科技

使用 docker manifest 构建跨平台镜像

江湖十年

Docker Desktop docker image docker build Docker 镜像

SAP Emarsys 和 SAP Spartacus 的集成

汪子熙

SAP Spartacus 思爱普 三周年连更 Emarsys

基于阿里云物联网平台设计的实时图传系统_采用MQTT协议传输图像

DS小龙哥

三周年连更

华为云网站安全解决方案:全面保障企业网络安全,助力业务稳定高效运行

YG科技

灵活应用Nginx Map:实战经验与实用方法

小毛驴的烂笔头

nginx linux运维 Nginx实践

热爱所有热爱

闫同学

三周年连更

在Mac上快速体验AI作画

IT蜗壳-Tango

三周年连更

跨平台应用开发进阶(五十)uni-app ios web-view嵌套H5项目白屏问题分析及解决

No Silver Bullet

uni-app ios 跨平台应用开发 三周年连更 web-view

全栈开发实战|Spring Boot文件上传与下载

TiAmo

Spring Boot 三周年连更 Apache Commons 文件上传下载

基于TCP协议的Socket通信

芯动大师

TCP协议 Socket请求 三周年连更

文心一言 VS chatgpt (11)-- 算法导论2.3 7题 3.1 4~5题

福大大架构师每日一题

福大大 ChatGPT 文心一言

中小企业如何保障网络安全?用了这么多项目华为云其实还不错!

YG科技

IT分享丨我是如何利用华为云网站安全解决方案帮助中小型企业实现IT安全

YG科技

Django笔记十之values_list指定字段取值及distinct去重处理

Hunter熊

Python django distinct values

一文读懂 Spring Bean 的生命周期

老周聊架构

三周年连更

“程序员”未来会失业吗 | 社区征文

BROKEN

三周年征文

华为云网站安全解决方案:中小型企业的云上云下安全守护专家

YG科技

Ruby发现众多安全缺陷,Safe Level、WEBrick、Dl和DNS查找皆受影响_Ruby_Werner Schuster_InfoQ精选文章