BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Ruby 1.8.x中BigDecimal的Dos漏洞

| 作者 Werner Schuster 关注 7 他的粉丝 ,译者 杨晨 关注 0 他的粉丝 发布于 2009年6月15日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Ruby 1.8.x的所有版本中发现了一个易被DoS攻击的漏洞:

将BigDecimal对象转换成Float数的时候会导致一个问题,这个问题使得攻击者能够很容易得到段错误。
由于ActiveRecord即依赖于这个方法,所以大多数Rails应用程序都会被影响到。虽然这个并不只是Rails的问题。

Riding Rails博客也指出了这个漏洞

即将发布的Rails 2.3.3将会有一些小改动,减少了一些这个漏洞中可能被攻击的vectors数量。但是这些改动不会关闭每一个可能遭受攻击的方法,用户仍然需要不断尽快升级升级他们的Ruby安装程序。

这篇博文同样指向了了NZkoz的bigdecimal-segfault-fix,无法升级Ruby的用户的一个临时修复方法这篇文章,这也是一个解决办法,但是这个修正版本可能会破坏应用程序,所以升级是唯一一个合适的解决方法。

所有的Ruby 1.8.x版本都被影响了,第一个修正的Ruby版本Ruby 1.8.6-p3691.8.6 FTP下载链接)和Ruby 1.8.7-p1731.8.7 FTP下载链接)。

JRuby貌似也被影响了。Bug JRUBY-3744跟踪了这个问题:

JRuby貌似也同样被影响了。它不会崩溃,但是会陷入无限循环中。

这个样例输出记录了这种行为。

一个实验的结论揭示了在bigdecimal-segfault-fix中使用的解决方法是一个临时的解决方法,因为它仅仅是修改了BigDecimal类,然后在使用过大的数的时候抛出异常。但是在JRuby中,这种代码却失败了,而不是保持JRuby线程继续工作;很显然这种代码的修改不能够支持更大的数。

Ruby 1.9.x的用户不会被影响

查看英文原文:DoS Vulnerability in BigDecimal

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT