作者:Werner Schuster译者 李明 来源:InfoQ 酷勤网收集 2008-08-13
摘要
对于1.8.x的用户,解决方法是升级至1.8.6-p286和1.8.7-p71。对于1.9.x的Ruby用户,似乎当前最好的解决方法就是从SVN中取得最新的代码──所有在r18423之后的版本应该都是安全的。
其中的一个问题来自safe levels。通过设置safe level,可以禁止操作和定义被认为是污染了的数据。Ruby中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:
- untrace_var在safe level 4是允许的
- $PROGRAM_NAME在safe level 4是可以修改的
- 不安全的方法在safe level 1-3可能可以调用
- Syslog操作在safe level 4是允许的
在WEBrick中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析HTTP头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。
近期发现的DNS安全问题也影响到了Ruby,通过DNS事务ID和源端口的随机化,这个问题得到了解决。
对于1.8.x的用户,解决方法是升级至1.8.6-p286和1.8.7-p71。对于1.9.x的Ruby用户,似乎当前最好的解决方法就是从SVN中取得最新的代码──所有在r18423之后的版本应该都是安全的。
升级到1.8.7也是个可能导致问题的解决方案。如果在Ruby 1.8.7上使用Rails 2.0,则会默认将ActiveSupport方法添加到String中,而因为语义稍有不同(请看关于Ruby开放类的文章来了解相关问题),可能会引发问题。Rails 2.1在Ruby 1.8.7可以正常工作。