XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳(アーカイブ)
どのような脆弱性か 先日書いた「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由」という記事に、奥さん(id:kazuhooku)より、下記のブックマークコメントをいただきました。 たとえばブログの場合、誰かに壊れたUTF-8を含むコメントを書き込まれちゃうと、そのブログ全体にアクセスできなくなる(最新コメント一覧に出るから)んじゃないか。XSSが発生しないだけで脆弱性があることは変わらない はてなブックマーク - kazuhookuのブックマーク / 2009年9月26日 まったくおっしゃる通りです。アプリケーションの構成によっては、サービス自体が提供できなくなる可能性があります。 このような脆弱性を何とよぶのでしょうか。すでに統一的な呼称があるのかどうか、私は知りません。サービス不能という観点からは広義のDoS脆弱性といえるのかもしれません。 追記(2009-0
スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性
Rubyのオフィシャルサイトは6月10日、まつもとゆきひろ氏が個人で開発しているオブジェクト指向スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性が存在すると発表した。 今回確認された脆弱性は、Ruby1.8系の1.8.6-p368とそれ以前のすべてのバージョン、および1.8.7-p160 とそれ以前のすべてのバージョンに存在する。なお、1.9系はこの問題の影響を受けない。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者は巨大なBigDecimalの数値を変換することによりsegmentation faultsを引き起こせる可能性がある。このため、1.8.6-p369またはruby-1.8.7-p173にアップグレードするよう呼びかけている。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
