CVE-2014-8080: REXML におけるXML展開に伴うサービス不能攻撃について
Posted by nagachika on 27 Oct 2014 REXML において XML のパラメータエンティティの展開によりサービス不能攻撃が可能となる脆弱性が報告されました。 この脆弱性は CVE-2014-8080 として CVE に登録されています。 ユーザーの皆さんには Ruby を更新することを強くお勧めします。 詳細 XMLドキュメントからテキストのノードを読み込む際にREXMLパーサーに極めて大きな String オブジェクトを生成させることで、マシン上のメモリを使い果たさせてサービス不能攻撃(DoS)を成立させることができます。 影響を受けるのは以下のようなコードです: require 'rexml/document' xml = <<XML <!DOCTYPE root [ # ENTITY expansion vector ]> <cd></cd> XML
rubyを1.8.6に上げるとXPathが正しく動作しなくなる? - こせきの技術日記
http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-dev/30721 これと同じ問題で悩んでいます。バグじゃないかなー。 attribute::* で全ての属性が取得できるのに、attribute::class みたいに属性の名前を指定すると何も返ってこなくなるみたいでした。 REXML - http://www.germane-software.com/software/rexml/index.html (追記) http://www.germane-software.com/projects/rexml/ticket/102 にバグレポートとパッチが上がっていました。 でも、XML名前空間の仕様を勉強しなおしていたら、本当にバグなのかわからなくなってきました。デフォルトの名前空間は属性に適用されないので、 A default
Ruby 1.8.6のREXML/XPathのバグ - ELECTRIC DOC.
Ruby 1.8.6でXML構文を扱うとき、XPathがうまく機能しないバグがあるそうです。Rubyのソースファイルを修正すると正常に動作します。 修正ファイル: /usr/lib/ruby/1.8/rexml/element.rb 修正箇所: def attribute( name, namespace=nil ) prefix = nil ■■prefix = namespaces.index(namespace) if namespace ■■prefix = nil if prefix == ‘xmlns’ #この行を追加 ■■attributes.get_attribute( “#{prefix ? prefix + ‘:’ : }#{name}” ) end 参考: #102 (Cannot select attribute with default namespa
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
