Rubricks Project結構致命的な脆弱性なんだけど、そんなに騒がれていないのは何故だろう。まぁ、おかげで攻撃を受ける前に全環境にパッチを当てることができた。商用環境を抱えるとこの辺の動きがどうしても鈍くなる。 まずはRuby公式の発表から。 REXMLのDoS脆弱性 DoS vulnerability in REXML ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 とある。わざとぼかしてあるのかもしれないが、これでは不十分。管理者が明示的にRailsデフォルトのある機能を無効にしていない限り、全てのRailsアプリケーションはこの攻撃に対して脆弱となっている。これはRails-1.1.6・1.2.6・2.1.0の各バージョンで確認できた。 世の中の九分九厘のRailsアプリケーションはパ
tDiary.org
