RubyonRails出现脚本和计时器安全问题

最近发现的两个安全问题给Ruby on Rails社区带来了一些忙乱&＃xff0c;每个Rails开发者都必须注意近期发布的升级包。

易受攻击的跨站脚本

第一&＃xff0c;可能是最严重的就是Brian Mastenbook发现的跨站脚本&＃xff08;XSS&＃xff09;的脆弱&＃xff0c;并且在他的博客中报告了这个问题。Brian描述了他是如何对Twitter和37signals Basecamp的Ruby on Rails进行跨站脚本攻击的。

我的注意力很快地转向了Twitter&＃xff0c;这是我当时运行的唯一一个Web应用程序。一会儿&＃xff0c;我发现一个URL查询参数中的Javascript代码导致溢出&＃xff0c;在twitter.com的主体中运行。是的&＃xff01;跨站脚本&＃xff0c;这就是Twitter蠕虫的制作方法。但是这个问题是只针对Twitter&＃xff0c;还是能够在其他站点运行&＃xff1f;

\u0026#xD;\n我很快用一个测试Basecamp账号进行了实验。Basecamp也是和Twitter类似&＃xff0c;使用了Ruby on Rails作为其Web前端&＃xff0c;所以这是一个测试上述问题是只针对Twitter还是普遍存在于Rails中的好办法。果不其然&＃xff0c;同样的能够攻击Twitter的恶意UTF-8字符串也能够影响Basecamp。

虽然这种攻击的可能性不是很高&＃xff0c;但是Ruby on Rails团队很快做出了反映&＃xff0c;检查了这个报告并且为Rails 2.0 - 2.3发布了补丁。

这些补丁是git-am格式的&＃xff0c;包含两个更新部分。清理多字节字符串的代码和这些代码的相关帮助。\u0026#xD;\n

• 2-0-CVE-2009-3009.patch – 2.0版本补丁\u0026#xD;\n
• 2-1-CVE-2009-3009.patch – 2.1版本补丁\u0026#xD;\n
• 2-2-CVE-2009-3009.patch – 2.2版本补丁\u0026#xD;\n
• 2-3-CVE-2009-3009.patch – 2.3版本补丁\u0026#xD;\n

团队建议将不支持的Rails升级到现在的版本&＃xff0c;因为未来发现的问题解决方案也可能不会支持本次未支持的版本。我们要注意&＃xff0c;只有Rails 2.2.x和2.3.x是将来肯定会支持的。

脆弱的计时器

另外一个问题类似于计时器攻击。这种攻击和Rails验证储存在COOKIE中的消息摘要有关&＃xff0c;这个缺陷允许一个攻击者来决定伪造签名能够在什么时候通过验证。这可能诱引其他的攻击&＃xff0c;例如伪造摘要。

Rails团队承认这种攻击是不太可能的&＃xff0c;但是他们还是建议打上补丁。补丁现在只是支持Rails 2.2.x和2.3.x&＃xff1a;

这些补丁是git-am格式的&＃xff0c;现在只是包含了单一的代码部分。\u0026#xD;\n

• 2-2-timing-weakness.patch – 2.2版本补丁\u0026#xD;\n
• 2-3-timing-weakness.patch – 2.3版本补丁\u0026#xD;\n

Coda Hale是这个Rails计时器问题的发现者。他的网站很好地解释了计时器问题的概念以及它们是如何被利用的。

Ruby on Rails 2.3.4

Rails开发者还是没有忘记给他们运行在Ruby on Rails 2.3.4的Rails程序打上最新的补丁&＃xff0c;这个补丁修正了一些bug&＃xff0c;并且处理了上述两个安全问题。

\u0026#xD;\n

安全修复

\u0026#xD;\n

2.3.4修复了两个报告给我们的安全问题。欲知详情请查看安全通告。

\u0026#xD;\n

• CVE-2009-3009 – XSS的易受攻击\u0026#xD;\n
• 在MessageVerifier和COOKIE存储中的计时器问题\u0026#xD;\n

Bug修正

\u0026#xD;\n感谢BugMash的帮助&＃xff0c;我们在这个版本中修复了大约100个bug。当然不会修复在开发模式下和rack中间件以及rails metal封装引起的重载问题。

这个版本也包括了一个新特性&＃xff0c;能够通过一个简单的rake db:seed命令将seed数据添加到项目数据库。

查看英文原文&＃xff1a;Ruby on Rails Security Vulnerabilities