BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Rail ActionPack参数解引发多种漏洞

| 作者 王兴宗 关注 0 他的粉丝 发布于 2013年1月25日. 估计阅读时间: 2 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

1月8日,Rails团队核心成员Aaron Patterson公布了CVE-2013-0156,这是一个由ActionPack参数解引发的多种漏洞,并且影响版本十分广泛,包括3.0、3.1、3.2以及很久没有更新的2.3系列。

漏洞的影响

  • 绕过授权系统
  • 注入任意SQL语句
  • 拒绝服务攻击
  • 执行任意Ruby代码

其中,可以远程执行任意Ruby代码(当然包括Shell命令,因为Ruby可以调用系统Shell命令)这一漏洞让大部分开发者和网站感到恐慌,一些网站采取下线的极端应对措施,其中包括荷兰政府的公民数字身份网站

Webrat的作者@brynary在他的博客 中总结了这次漏洞的严重性:

  • 可利用性:容易,攻击脚本随处都可以找到,并且容易使用,只需要传入攻击目标网站的URL和想要执行的代码;
  • 影响范围:广泛,所有没升级到最新版本的Rails项目都受到影响;
  • 可检测性:容易,不需要和应用相关的知识,就可以实施自动化扫描来检测目标网站是否存在此漏洞;
  • 技术上的影响:严重,攻击者可以应用服务器的权限执行任何Ruby(当然也可以是Shell) 脚本,从而劫持整个主机;
  • 商业上的影响:严重,数据可以被窃取,服务器资源可以被攻击者用作恶意用途。

漏洞产生原理

  1. Rails在解析XML的时候是会解析XML里内嵌的YAML文件的,这要追溯到这个补丁
  2. Ruby的YAML Parser可以创建出任意对象,只要这个类在程序内存中有定义。

这样,攻击者就可以通过提交一个XML文件,通过XML里内嵌的YAML文件来创建一个含有不安全代码的对象,利用Rails内部的实现细节触发代码执行来实施攻击。这里是ronin提供的漏洞利用的详细代码:https://gist.github.com/4499206

漏洞防御措施

如果是Rails3项目,直接升级到最新版本。如果是Rails2.3项目,升级到最新版本比较麻烦,可以在项目初始化加载时添加下面两行代码:

ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('symbol') 
ActiveSupport::CoreExtensions::Hash::Conversions::XML_PARSING.delete('yaml') 

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT