Noticias de Ruby por RSS

Vulnerabilidade DoS na biblioteca REXML

Fri, 05 Sep 2008 09:15:36 GMT

Existe uma vulnerabilidade DoS na biblioteca REXML incluída na biblioteca standard do Ruby. Uma técnica de ataque conhecida como “XML entity explosion” poderá ser utilizada para terminar remotamente qualquer aplicação que faça parse de XML com a biblioteca REXML.

A maioria das aplicações rails estarão vulneráveis, uma vez que o Rails faz parse de XML com REXML, por omissão.

Impacto

Um ataque deste tipo pode ser repetido pedindo uma análise de um documento XML contendo entidades aninhadas recursivas pela biblioteca REXML. Veja-se o exemplo:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE member [
  <!ENTITY a "&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;">
  <!ENTITY b "&c;&c;&c;&c;&c;&c;&c;&c;&c;&c;">
  <!ENTITY c "&d;&d;&d;&d;&d;&d;&d;&d;&d;&d;">
  <!ENTITY d "&e;&e;&e;&e;&e;&e;&e;&e;&e;&e;">
  <!ENTITY e "&f;&f;&f;&f;&f;&f;&f;&f;&f;&f;">
  <!ENTITY f "&g;&g;&g;&g;&g;&g;&g;&g;&g;&g;">
  <!ENTITY g "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">
]>

<member>
&a;
</member>

Versões vulneráveis

Versões 1.8

1.8.6-p287 e todas as anteriores
1.8.7-p72 e todas as anteriores

Versões 1.9

Todas

Solução

Faça download do seguinte patch para corrigir o problema.

http://www.ruby-lang.org/security/20080823rexml/rexml-expansion-fix.rb

Depois adicione a linha na aplicação para carregar rexml-expansion-fix.rb antes de utilizar REXML.

require "rexml-expansion-fix"
 ...
 doc = REXML::Document.new(str)
 ...

para aplicações em Rails, copie o ficheiro rexml-expansion-fix.rb para a directoria RAILS_ROOT/lib/, por exemplo, e adicione a linha seguinte no ficheiro config/environment.rb.

require "rexml-expansion-fix"

Se a sua aplicação utiliza Rails 2.1 ou posterior, basta copiar o ficheiro rexml-expansion-fix.rb para a directoria RAILS_ROOT/config/initializers para que este seja automaticamente inicializado.

Por omissão, a expansão de entidades XML é de 10000. Poderá alterar este valor mudando REXML::Document.entity_expansion_limit.

REXML::Document.entity_expansion_limit = 1000

Esta correcção estará disponível também como uma gema e utilizada por versões futuras de Rails, mas aconselham-se medidas de correcção imediatas.

Créditos

Créditos para Luka Treiber and Mitja Kolsek da ACROS Security por informar as Equipas de Segurança de Ruby e Ruby on Rails.

Créditos para Michael Koziarski da Rails Core Team por criar a correcção para a vulnerabilidade

Vulnerabilidades de segurança no Ruby

Thu, 26 Jun 2008 02:21:50 GMT

Algumas vulnerabilidades de segurança no Ruby permitem ataques "denial of service (DoS)" ou execução arbitrária de código.

Impacto

As seguintes vulnerabilidades permitem ataques de DoS ou execução arbitrária de código.

Versões vulneráveis

1.8

1.8.4 e todas as anteriores
1.8.5-p230 e todas as anteriores
1.8.6-p229 e todas as anteriores
1.8.7-p21 e todas as anteriores

1.9

1.9.0-1 e todas as anteriores

Solução

1.8

Actualizar para a versão 1.8.5-p231, ou 1.8.6-p230, ou 1.8.7-p22.

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9

Actualizar para a versão 1.9.0-2.

<URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

Estas versões também corrigem a vulnerabilidade no WEBrick (CVE-2008-1891).

Note que um pacote binário que corrige este problema poderá já estar disponível a partir do seu software de gestão de aplicações.

Créditos

Os créditos vão para Drew Yao da Segurança de Produtos da Apple por dar a conhecer o problema à equipa de segurança do Ruby

Alterações

2008-06-21 00:29 +09:00 removidos os CVE IDs incorrectos (CVE-2008-2727, CVE-2008-2728).

ruby-lang.org/pt "no ar"

Thu, 26 Jul 2007 22:48:38 GMT

Uma casa portuguesa com certeza, ruby-lang.org/pt/

É com um enorme prazer que anunciamos o lançamento de algo há muito esperado pela comunidade ruby de língua portuguesa!

Hoje 26 de Julho de 2007 marca o dia em que a equipa de tradução do site oficial do ruby-lang.org concluiu o trabalho de tradução que foi iniciado há algum tempo atrás. Desta forma, contribuímos para o avanço, divulgação e credibilização da linguagem de programação mais zen do planeta – o Ruby.

É com muita pena que nós, Ruby << portuguese, não temos estatísticas do número de cafés, chocolates, cervejas, batata fritas que foram consumidos durante este tempo. :)

A equipa mais bem humorada é constituída pelos seguintes entusiastas :

Emanuel Mota, o culpado de tudo isto
Joaquim Antunes, o mais pontual
Pedro Sousa, tipo normal com certo estilo e tal
Carlos Afonso, o homem das luzes comandadas por Ruby
Filipe Rocha, o tipo que escreve de olhos fechados
Francisco Cabrita, yha, eu que estou a escrever isto e o resto da malta a beber

Ferramentas utilizadas :

Mac, a melhor máquina para trabalhar
Radiant CMS, para gestão deste site
Instiki, wiki para sincronizar sinergias entre as pessoas

Uma vez mais obrigado a todos, e boa leitura

Equipa de Tradução Portuguesa