gullinews am Samstag, 23.08.2008 20:02 Uhr
Durch die Sicherheitslücke in dem REXML-Modul ist es möglich, eine Denial-of-Service Attacke durchzuführen. Größerer Schaden kann nicht entstehen.
Das REXML-Modul ist dafür zuständig, eingehende XML-Requests zu bearbeiten. Die "XML Entity Explosion" genannte Attacke bringt das Modul dazu, eine Datei zu parsen, die rekursiv eingebettete Einträge enthält und das Applikationsframework dann nicht mehr reagiert. Von der Schwachstelle sollen nicht nur Applikationen betroffen sein, die XML explizit nutzen, sondern prinzipiell alle Ruby on Rails Anwendungen.
Parallel ist ein Bugfix erschienen. Wie man den Bugfix anwendet kann man auf dem offiziellen Ruby on Rails Blog nachlesen. Mit dem nächsten Update von dem Rails-Framework soll der Fehler auch standardmäßig nicht mehr auftreten, da der Bugfix übernommen wird. (020200)
(via Ruby on Rails Blog)
| 0 Reaktionen aus dem gulli:Board |
|---|
gullinews am 23.08.2008 20:00:54: |