我刚刚阅读了http://www.ruby-lang.org/en/news/2013/02/06/rdoc-xss-cve-2013-0256/,关于 RDoc 中的 XSS 漏洞利用的报告。
我在 Ubuntu 12.04 上,我怀疑 Ubuntu 很快就会处理这个漏洞。
删除所有 RDoc 文档并卸载rdoc可执行文件会使我免受此漏洞的影响吗?
我不向公众托管 RDoc 文档,但gem server如果我忘记了这个漏洞,我偶尔可能会跑去查看。
问问题
99 次
2 回答
1
gem server如果您调整其启动方式,则在本地运行应该是安全的:
宝石服务器 -b 127.0.0.1 服务器启动于 http://127.0.0.1:8808
请注意,它位于 IP 127.0.0.1 上,其他机器无法访问,只能访问您的机器。它是环回,仅用于内部连接。
我在我的一个开发主机上启动了上面的服务器,并试图从我的桌面上点击它。连接失败,说它无法建立连接。
在 IRB 中使用 OpenURI 和 Nokogiri 从该框中击中它会返回:
Nokogiri::HTML(open('http://127.0.0.1:8808')).at('title').text
=> "RubyGems Documentation Index"
所以有些东西在那里还活着,我的日志显示:
localhost - - [06/Feb/2013:16:08:56 MST] "GET / HTTP/1.1" 200 52435
- -> /
于 2013-02-06T23:00:33.600 回答
1
在您的情况下,除非您有恶意用户向您提供指向您自己服务器的精心设计的链接,否则您是安全的。基本上,如果有人使用此漏洞托管 rdoc,则恶意用户可以通过将代码放入 URL 中的目标引用中,向某人发送精心设计的链接。如果您查看 CVE 中的差异,您可以看到最初变量“target”被传递给未受保护的包装代码。然后有人可以发送类似的东西http://example.com/rdoc/File.html#code to inject cookie stealing stuff,这些东西将由受害者浏览器呈现。
于 2013-02-06T23:05:09.120 回答