REXMLのDoS脆弱性
RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見さ れました。XML entity explosion attackと呼ばれる攻撃手法により、 ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態 にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 影響攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をRE...
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/
再帰的な構造をparseする際に問題が発生するようだ。実行時にライブラリをパッチするあたりがRubyらしいか
http://b.hatena.ne.jp/entry/http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/