ruby-lang. orgより、REXMLの脆弱性に関する報告がありました。

REXMLのDoS脆弱性

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

問題に対処するためのGemがリリースされているようなので、 以下のように対処しました。

Gemをインストール 1 # gem install rexml-expa nsion-fix ライブラリを読み込む 1 require ' rexml-expa nsion-fix '

また、RailsのPlugin Gemとして機能するものも作ってみました。

genki-rexm l-expansio n-fix

Gemをインストールした後、以下のように config/env ironment.r b 似記述します。

1 config. gem ' genki-rexm l-expansio n-fix ' , 2 : lib => ' rexml-expa nsion-fix ' , 3 : source => ' http://gem s.github.c om '

See Also