Geschrieben von zzak am 27.10.2014
Übersetzt von Quintus
Unkontrollierte Entitätsexpansion in REXML kann zu einer DoS-Schwachstelle führen. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2014-8080 zugewiesen. Wir raten Ihnen nachdrücklich, Ihr Ruby zu aktualisieren.
Details
Der REXML-Parser kann, wenn er Textknoten aus einem XML-Dokument ausliest, dazu gebracht werden, extrem große String-Objekte zu allozieren, welche den gesamten Speicher eines Rechners verbrauchen können, was in der Folge zu einem Denial of Service führt.
Betroffener Code sieht etwa so aus:
require 'rexml/document'
xml = <<XML
<!DOCTYPE root [
# ENTITY expansion vector
]>
<cd></cd>
XML
p REXML::Document.new(xml)
Alle Nutzer, die eine betroffene Version verwenden, sollten umgehend aktualisieren oder einen der Workarounds anwenden.
Betroffene Versionen
- Alle 1.9er Ruby-Versionen vor Ruby 1.9.3 patchlevel 550
- Alle 2.0er Ruby-Versionen vor Ruby 2.0.0 patchlevel 594
- Alle 2.1er Ruby-Versionen vor Ruby 2.1.4
- Trunk vor Revision 48161
Workarounds
Wenn Sie Ihr Ruby nicht aktualisieren können, nutzen Sie diesen Monkeypatch als Workaround für Ruby 2.1.0+:
class REXML::Entity
def value
if @value
matches = @value.scan(PEREFERENCE_RE)
rv = @value.clone
if @parent
sum = 0
matches.each do |entity_reference|
entity_value = @parent.entity( entity_reference[0] )
if sum + entity_value.bytesize > Security.entity_expansion_text_limit
raise "entity expansion has grown too large"
else
sum += entity_value.bytesize
end
rv.gsub!( /%#{entity_reference.join};/um, entity_value )
end
end
return rv
end
nil
end
end
Für Ruby-Versionen, die älter sind als 2.1.0, können Sie den folgenden Monkeypatch verwenden:
class REXML::Entity
def value
if @value
matches = @value.scan(PEREFERENCE_RE)
rv = @value.clone
if @parent
sum = 0
matches.each do |entity_reference|
entity_value = @parent.entity( entity_reference[0] )
if sum + entity_value.bytesize > Document.entity_expansion_text_limit
raise "entity expansion has grown too large"
else
sum += entity_value.bytesize
end
rv.gsub!( /%#{entity_reference.join};/um, entity_value )
end
end
return rv
end
nil
end
end
Danksagung
Dank geht an Willis Vandevanter für die Meldung des Problems.
Geschichte
- Erstmals veröffentlicht am 27.10.2014 12:00:00 (UTC)