Premudo Blog

REXML, der Ruby basierende XML Parser, hat eine DDoS Schwachstelle. Das Dumme an der Geschichte ist, dass Rails den XML Parser abhängig vom Content-Type einsetzt bzw die Anfragen parst. Somit ist man, wenn man das Parsen vom Content-Type XML nicht ausgeschaltet hat, davon betroffen.
Es gibt allerdings Patches gegen das Problem und es wird dringend angeraten, diese zu installieren.

Wenn man eine Railsversion 1.2.6 oder früher einsetzt:

1. Die Datei zur Fehlerbehebung runterladen und in /lib im Rails-Root kopieren
2. In /config/environment.rb die Zeile “require ‘rexml-expansion-fix’” einfügen

Wenn man eine Railsversion ab 2.0.0 und höher einsetzt:

1. Die Datei zur Fehlerbehebung in /config/initializers kopieren. Diese wird dann beim neustart der Anwendung automatisch required.

Dieser Fix ist auch als GEM erhältich nämlich so:

gem install rexml-expansion-fix

Also unbedingt installieren.

Via: RubyOnRails Blog und Gulli News

Be Sociable, Share!

• 

Tags: rexml, ruby, Ruby & Rails

This entry was posted on Sonntag, August 24th, 2008 at 21:57 and is filed under Internet, Ruby & Rails. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.