CVE-2024-43398: REXML 中的 DoS 漏洞

由 kou 发表于 2024-08-22
翻译： GAO Jun

REXML gem 中存在 DoS 漏洞。此漏洞的 CVE 编号为 CVE-2024-43398。我们强烈建议您更新 REXML gem。

详情

问题触发场景：当解析的 XML 中存在很多深层元素，且这些元素有同名本地属性时。

此问题仅影响树解析 API。如果您使用 REXML::Document.new 来解析 XML，就有可能受到影响。

请更新 REXML gem 至 3.3.6 或更高版本。

感谢 l33thaxor 发现此问题。

我们很高兴地宣布 Ruby 4.0.0 已发布。 Ruby 4.0 引入了 Ruby::Box 和 “ZJIT”，以及若干改进。

由 naruse 发表于 2025-12-25

继重新设计 ruby-lang.org之后，我们还有更多消息来庆祝 Ruby 诞生 30 周年：docs.ruby-lang.org 采用了全新的、RDoc 的 Aliki 默认主题。

由 Stan Lo 发表于 2025-12-23

我们激动地宣布网站已经全面改版。此次更新的设计方案由 Taeko Akatsuka (赤塚妙子) 创作。

由 Hiroshi SHIBATA 发表于 2025-12-22

我们很高兴地宣布 Ruby 4.0.0-preview3 已发布。 Ruby 4.0 引入了 Ruby::Box 和 “ZJIT”，以及若干改进。

由 naruse 发表于 2025-12-18