Опубликовал zzak 27-10-2014
Перевел: gazay
Неограниченное разворачивание XML-сущности может привести к DoS уязвимости в REXML. Этой уязвимости назначен идентификатор CVE CVE-2014-8080. Мы очень рекомендуем обновить Ruby.
Детали
Во время чтения текстовых нод XML документа, парсер REXML может быть вынужден к резервированию экстремально больших строковых объектов, которые могут растратить всю память машины, вызвав недоступность сервиса (DoS).
Опасный код может выглядеть как-то так:
require 'rexml/document'
xml = <<XML
<!DOCTYPE root [
# Вектор, расширяющий сущность
]>
<cd></cd>
XML
p REXML::Document.new(xml)
Все пользователи, использующие затронутые релизы, должны либо обновиться, либо использовать один из обходных путей.
Затронутые версии
- Все версии Ruby 1.9 до Ruby 1.9.3 patchlevel 550
- Все версии Ruby 2.0 до Ruby 2.0.0 patchlevel 594
- Все версии Ruby 2.1 до Ruby 2.1.4
- транк до ревизии 48161
Обходные пути
Если вы не можете обновить Ruby, используйте этот манкипатч как обходной путь:
class REXML::Entity
def value
if @value
matches = @value.scan(PEREFERENCE_RE)
rv = @value.clone
if @parent
sum = 0
matches.each do |entity_reference|
entity_value = @parent.entity( entity_reference[0] )
if sum + entity_value.bytesize > Security.entity_expansion_text_limit
raise "entity expansion has grown too large"
else
sum += entity_value.bytesize
end
rv.gsub!( /%#{entity_reference.join};/um, entity_value )
end
end
return rv
end
nil
end
end
Для версий Ruby старше 2.1.0, вы можете использовать следующий манкипатч:
class REXML::Entity
def value
if @value
matches = @value.scan(PEREFERENCE_RE)
rv = @value.clone
if @parent
sum = 0
matches.each do |entity_reference|
entity_value = @parent.entity( entity_reference[0] )
if sum + entity_value.bytesize > Document.entity_expansion_text_limit
raise "entity expansion has grown too large"
else
sum += entity_value.bytesize
end
rv.gsub!( /%#{entity_reference.join};/um, entity_value )
end
end
return rv
end
nil
end
end
Благодарности
Спасибо Willis Vandevanter за сообщение о данной проблеме.
История
- Оригинал опубликован 2014-10-27 12:00:00 (UTC)