Tags:
Ruby

บั๊กใน Roby on Rails ที่ใช้โมดูล XML parameter เพื่อรับค่าพารามิเตอร์ในการโพสแบบ XML กำลังทำให้เว็บไซต์ที่รัน Ruby on Rails แทบทั้งหมดเจอปัญหา remote code execution หรือการรันโค้ดที่รับมาจากผู้ใช้

ปัญหาเกิดจากโมดูลสำหรับ parse XML นั้นรองรับค่าชนิด symbol และ yaml โดยโครงสร้างความปลอดภัยของภาษา Ruby นั้นไม่ควรให้ค่า symbol ถูกส่งมาจากภายนอกได้ รวมถึงค่าของ yaml นั้นสามารถใช้รันโค้ดบางส่วนได้โดยโครงสร้างของมันเอง จึงไม่ควรนำมาใช้รับค่าจากผู้ใช้ภายนอก

เว็บไซต์ที่ใช้ Ruby on Rails ทั้งหมด (มากกว่า 240,000 เว็บไซต์ทั่วโลก) ควรแพตซ์โค้ดที่ใช้งานอยู่เพื่อยกเลิกการรับค่าแบบ XML ออกไป หรือไม่เช่นนั้นอาจจะอัพเกรดโค้ดไปยังเวอร์ชั่นล่าสุด

ที่มา - Ruby on Rails - Security, ArsTechnica

Comments

By: Sikachu
ContributoriPhoneIn Love
Sikachu's blog
on 09/01/13 10:26 #526972 toggle
Sikachu's picture

ทาง Core team แนะนำให้อัพเกรดไปยัง patch version ล่าสุด หรือถ้าอัพเกรดไม่ได้ก็ปิดการรับ XML parameters ครับ

แต่เอาเข้าจริง ... อัพเกรดเถอะครับ พี่แกเล่นออก patch ให้ทุก minor version เลย

  • 2.3.15
  • 3.0.19
  • 3.1.10
  • 3.2.11

บล็อกของผม: http://sikachu.com

By: nextman13
AndroidBlackberryUbuntuWindows
nextman13's blog
on 09/01/13 13:18 #527046 toggle
nextman13's picture

เป็นอีกภาษาหนึ่งที่ทำให้ผมงงกับชีวิตมาก เพราะงงๆ กับ syntax เคยแต่ภาษาแนว c,java,php


โปรแกรมที่ยังไม่มี bug คือโปรแกรมที่ยังไม่ได้เขียน

By: WattZ
AndroidRed HatSymbianWindows
WattZ's blog
on 09/01/13 20:19 #527271 Reply to:527046 toggle
WattZ's picture

ตอนแรกๆ ผมก็รู้สึกแบบนั้นครับ พอได้เขียนนานเข้าเริ่มติดใจล่ะ แบบว่าเขียนภาษานี้แล้วสนุกมาก


By: codingz
iPhoneRed HatUbuntu
codingz's blog
on 09/01/13 16:51 #527173 toggle
codingz's picture

ไม่ได้เขียนนาน จนมันไป 3.2 ซ่ะแล้ว


Ruby on Rails Developer,Java Web Developer and Investor http://www.codingz.org