Ruby1.8.x中BigDecimal的Dos漏洞

在Ruby 1.8.x的所有版本中发现了一个易被DoS攻击的漏洞&＃xff1a;

将BigDecimal对象转换成Float数的时候会导致一个问题&＃xff0c;这个问题使得攻击者能够很容易得到段错误。
\u0026#xD;\n由于ActiveRecord即依赖于这个方法&＃xff0c;所以大多数Rails应用程序都会被影响到。虽然这个并不只是Rails的问题。

Riding Rails博客也指出了这个漏洞&＃xff1a;

即将发布的Rails 2.3.3将会有一些小改动&＃xff0c;减少了一些这个漏洞中可能被攻击的vectors数量。但是这些改动不会关闭每一个可能遭受攻击的方法&＃xff0c;用户仍然需要不断尽快升级升级他们的Ruby安装程序。

这篇博文同样指向了了NZkoz的bigdecimal-segfault-fix&＃xff0c;无法升级Ruby的用户的一个临时修复方法这篇文章&＃xff0c;这也是一个解决办法&＃xff0c;但是这个修正版本可能会破坏应用程序&＃xff0c;所以升级是唯一一个合适的解决方法。

所有的Ruby 1.8.x版本都被影响了&＃xff0c;第一个修正的Ruby版本是Ruby 1.8.6-p369&＃xff08;1.8.6 FTP下载链接&＃xff09;和Ruby 1.8.7-p173&＃xff08;1.8.7 FTP下载链接&＃xff09;。

JRuby貌似也被影响了。Bug JRUBY-3744跟踪了这个问题&＃xff1a;

JRuby貌似也同样被影响了。它不会崩溃&＃xff0c;但是会陷入无限循环中。

这个样例输出记录了这种行为。

一个实验的结论揭示了在bigdecimal-segfault-fix中使用的解决方法是一个临时的解决方法&＃xff0c;因为它仅仅是修改了BigDecimal类&＃xff0c;然后在使用过大的数的时候抛出异常。但是在JRuby中&＃xff0c;这种代码却失败了&＃xff0c;而不是保持JRuby线程继续工作&＃xff1b;很显然这种代码的修改不能够支持更大的数。

Ruby 1.9.x的用户不会被影响。

查看英文原文&＃xff1a;DoS Vulnerability in BigDecimal