BigDecimal の DoS 脆弱性
Posted by maki on 10 Jun 2009 Ruby標準ライブラリの一つであるBigDecimalに、DoS(Denial Of Service)状態を引き起こしてしまう脆弱性が存在することが発見されました。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者はsegmentation faultsを引き起こすことができます。 ActiveRecordライブラリはこのメソッドを使用しているため、多くのRailsアプリケーションはこの脆弱性の影響を受けます。しかしながら、これはRailsのみの問題ではなく、Rubyアプリケーション全体に影響の起こりうる問題です。 影響 攻撃者は巨大なBigDecimalの数値を変換することにより、DoS状態を引き起こすことができます。 その一例を以下に示します。 脆弱性の存在するバージョン 1.8系 1
Happy Birthday, Ruby
Posted by NaHi on 24 Feb 2003 (dblack posted an article ‘Happy Birthday, Ruby, and an announcement….’ [ruby-talk:65632]. Following is excerpted from the article.) Today, February 24, 2003, is Ruby’s 10th birthday. Happy Birthday, Ruby! And congratz to Matz! dblack also announces the new non-profit organization Ruby Central, Inc and RubyConf 2003!. See [ruby-talk:65632].
REXMLのDoS脆弱性
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
ダウンロード
ここでは、Rubyインタプリタの代表的な入手方法を説明します。 現在の安定版は 3.1.2です。 Ruby’sライセンスを必ずお読み下さい。 Rubyのインストール方法 メジャーなプラットフォームでは Ruby をインストールする方法はいくつかあります。 Linux/UNIX マシンでは、そのシステムのパッケージ管理ツールや、rbenv、RVMなどのサードパーティツールが使えます。 macOSマシンでは、rbenv、RVMなどのサードパーティのパッケージ管理ツールが使えます。 Windowsマシンでは、RubyInstallerといったツールが使えます。 各パッケージマネージャ及びサードパーティーツールの詳細は、インストールガイド ページを参照して下さい。 もちろん、メジャーなプラットフォームでソースからRubyをインストールすることも可能です。 ソースコードからRubyをコンパイルする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.ruby-lang.org/ja/LICENSE.txt
プログラミング言語 Ruby リファレンスマニュアル
プログラミング言語 Ruby リファレンスマニュアル
