Ruby 1.8.x中BigDecimal的Dos漏洞

作者 Werner Schuster 译者 杨晨 发布于 2009年6月14日

领域

架构 & 设计,

语言 & 开发

主题

安全 ,

Ruby ,

Ruby on Rails ,

JRuby

标签

Ruby on Rails ,

Ruby 1.9 ,

漏洞 ,

Rails ,

JRuby

在Ruby 1.8.x的所有版本中发现了一个易被DoS攻击的漏洞：

将BigDecimal对象转换成Float数的时候会导致一个问题，这个问题使得攻击者能够很容易得到段错误。
由于ActiveRecord即依赖于这个方法，所以大多数Rails应用程序都会被影响到。虽然这个并不只是Rails的问题。

Riding Rails博客也指出了这个漏洞：

即将发布的Rails 2.3.3将会有一些小改动，减少了一些这个漏洞中可能被攻击的vectors数量。但是这些改动不会关闭每一个可能遭受攻击的方法，用户仍然需要不断尽快升级升级他们的Ruby安装程序。

这篇博文同样指向了了NZkoz的bigdecimal-segfault-fix，无法升级Ruby的用户的一个临时修复方法这篇文章，这也是一个解决办法，但是这个修正版本可能会破坏应用程序，所以升级是唯一一个合适的解决方法。

所有的Ruby 1.8.x版本都被影响了，第一个修正的Ruby版本是Ruby 1.8.6-p369（1.8.6 FTP下载链接）和Ruby 1.8.7-p173（1.8.7 FTP下载链接）。

JRuby貌似也被影响了。Bug JRUBY-3744跟踪了这个问题：

JRuby貌似也同样被影响了。它不会崩溃，但是会陷入无限循环中。

这个样例输出记录了这种行为。

一个实验的结论揭示了在bigdecimal-segfault-fix中使用的解决方法是一个临时的解决方法，因为它仅仅是修改了BigDecimal类，然后在使用过大的数的时候抛出异常。但是在JRuby中，这种代码却失败了，而不是保持JRuby线程继续工作；很显然这种代码的修改不能够支持更大的数。

Ruby 1.9.x的用户不会被影响。

查看英文原文：DoS Vulnerability in BigDecimal

译者 杨晨 对数据库和搜索引擎有深入了解，尤其擅长经典计算机科学理论，对历史学兴趣浓厚。

• 更早的 >