写点什么

Ruby 发现众多安全缺陷,Safe Level、WEBrick、Dl 和 DNS 查找皆受影响

  • 2008-08-11
  • 本文字数:504 字

    阅读完需:约 2 分钟

其中的一个问题来自 safe levels 。通过设置 safe level,可以禁止操作和定义被认为是污染了的数据。Ruby 中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:- untrace_var 在 safe level 4 是允许的

  • $PROGRAM_NAME 在 safe level 4 是可以修改的
  • 不安全的方法在 safe level 1-3 可能可以调用
  • Syslog 操作在 safe level 4 是允许的

请看带有代码实例的缺陷列表。另一个和污染数据相关的问题来自于 dl。dl 程序库允许用户载入动态库并调用其中的函数。因为 dl 并没有检测传入参数的被污染程度,因此可以借此来实现缓冲区溢出(exploits)攻击。

在 WEBrick 中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析 HTTP 头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。

对于 1.8.x 的用户,解决方法是升级至 1.8.6-p286 和 1.8.7-p71。对于 1.9.x 的 Ruby 用户,似乎当前最好的解决方法就是从 SVN 中取得最新的代码──所有在 r18423 之后的版本应该都是安全的。

最后,提醒一句:虽然最近发现的 Ruby 解释器的问题已经解决了──但是第一个修复版存在兼容性的问题。在将其正式投入产品级应用以前,要对升级进行仔细的测试。

2008-08-11 22:06910
用户头像

发布了 80 篇内容, 共 20.4 次阅读, 收获喜欢 5 次。

关注

评论

发布
暂无评论
发现更多内容

十年大厂资深面试官告诉你,现在Java面试八股文都已经卷到什么程度了

Java永远的神

程序员 程序人生 设计模式 中间件 java面试

羊了个羊区块链挖矿游戏系统开发模式玩法

开发微hkkf5566

观测云产品更新|新增基础设施 YAML 显示;新增日志查看器 DQL 搜索模式;优化应用性能监测等

观测云

MySQL 及 jdbc 问题汇总

Java-fenn

Java

flink-cdc同步mysql数据到hive

Java-fenn

Java

数字机器人及超级自动化产品和方案提供商朗思科技加入龙蜥社区

OpenAnolis小助手

AI 龙蜥社区 CLA 朗思科技

高并发之限流

源字节1号

软件开发 后端开发

Dapp系统开发智能合约部署

薇電13242772558

智能合约

什么是RTMP 和 RTSP?它们之间有什么区别?

wljslmz

音视频 流媒体 RTMP RTSP 9月月更

VUE3中watch与watchEffect —— 全网最详细系列

海底烧烤店ai

前端 响应式编程 Vue3 9月月更

Golang+Vue轻松构建Web应用

golang Vue

一步步搞懂MySQL元数据锁(MDL)

Java-fenn

Java

Vite+Vue3+Vue-Router+Vuex+CSS预处理器(less/sass) 配置指南 —— 全网最详细系列

海底烧烤店ai

前端 Vue3 9月月更 项目搭建

理解elasticsearch的post_filter

程序员欣宸

elasticsearch 9月月更

StarlingX 7.0 已发布!进一步强化可扩展性、安全性及灵活性

Geek_2d6073

使用Rust开发后端——Actix-Web

CodeWithBuff

后端 actix-web ​Rust

微软 × 灵雀云 × 中建信息 联合推出基于Azure的云原生全栈解决方案

York

alauda 云原生 azure 数字化转型 虚拟化

Rust异步初探

CodeWithBuff

异步 ​Rust

MyBatis-Plus(二、常用注解)

注解 MyBatisPlus 9月月更

云安全是什么?是哪个企业提出的概念?

行云管家

云计算 网络安全 安全 云安全

等保2.0是什么意思?谁能详细解释一下!

行云管家

云计算 等保 等级保护 等保2.0

Qualcomm IPQ5018 solution application wifi6 wallys ,QCN9074, 2. 4G/5G

wallys-wifi6

QCN9074 ipq5018' ipq5015

玩转ApiFox脚本实现自动化

Liam

测试 Postman API 测试自动化 脚本自动化

MySQL 及 jdbc 问题汇总

Java-fenn

Java

C++学习---cstdio的源码学习分析01-类型定义

桑榆

c++ 源码阅读 9月月更

MASA Framework的分布式锁设计

MASA技术团队

.net 分布式锁 MASA Framewrok MASA

AI加速器与机器学习算法:协同设计与进化

OneFlow

机器学习 深度学习 AI 加速器

「云计算」AI如何改变云技术?

Finovy Cloud

实时云渲染 GPU算力 GPU渲染 云渲染农场

Vite构建的Vue3项目打包部署到Gitee —— 全网最详细系列

海底烧烤店ai

前端 vite Vue3 部署 9月月更

数字化转型的认识偏见十宗罪

博文视点Broadview

大数据问题排查系列 - 开启 Kerberos 安全的大数据环境中,Yarn Container 启动失败导致 spark/hive 作业失败

明哥的IT随笔

大数据 spark hive kerberos

Ruby发现众多安全缺陷,Safe Level、WEBrick、Dl和DNS查找皆受影响_Ruby_Werner Schuster_InfoQ精选文章