Ruby DL和Fiddle模块已污染对象处理漏洞

最新推荐文章于 2024-09-20 23:17:40 发布
最新推荐文章于 2024-09-20 23:17:40 发布
阅读量578 收藏
点赞数
文章标签: Ruby Linux 安全 补丁 对象

受影响系统: 
Ruby Ruby 2.0.x 
 Ruby Ruby 1.9.x 
不受影响系统: 
Ruby Ruby 1.8.x 
描述: 
-------------------------------------------------------------------------------- 
CVE(CAN) ID: CVE-2013-2065 
  
Ruby,一种为简单快捷的面向对象编程(面向对象程序设计)而创的脚本语言,在20世纪90年代由日本人松本行弘(まつもとゆきひろ/Yukihiro Matsumoto)开发,遵守GPL协议和Ruby License。 
  
Ruby 1.9.x、2.0.x的DL和Fiddle模块在处理某些对象时,没有正确验证$SAFE层,可导致传递已污染的字符串到系统调用。 
  
<*来源:vendor 
  
  链接:http://secunia.com/advisories/53432/ 
        http://www.ruby-lang.org/en/news/2013/05/14/taint-bypass-dl-fiddle-cve-2013-2065/ 
 *>

建议: 
-------------------------------------------------------------------------------- 
临时解决方法: 
  
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下monkey patch以降低威胁: 
  
class Fiddle::Function 
  alias :old_call :call 
  def call(*args) 
    if $SAFE >= 1 && args.any? { |x| x.tainted? } 
      raise SecurityError, "tainted parameter not allowed" 
    end 
    old_call(*args) 
  end 
 end 
  
厂商补丁: 
  
Ruby 
 ---- 
 Ruby已经为此发布了一个安全公告(taint-bypass-dl-fiddle-cve-2013-2065)以及相应补丁: 
 taint-bypass-dl-fiddle-cve-2013-2065:Object taint bypassing in DL and Fiddle in Ruby (CVE-2013-2065) 
 链接: http://www.ruby-lang.org/en/news/2013/05/14/taint-bypass-dl-fiddle-cve-2013-2065/

本文转载自linux公社,原文链接:http://www.linuxidc.com/Linux/2013-05/84494.htm

u010602733
关注
Ruby on rails安装后去掉DL is deprecated,please use Fiddle警告信息的方法【测试可用】
09-21
### Ruby on Rails安装后去掉“DL is deprecated, please use Fiddle”警告信息的方法 在进行Ruby on Rails开发的过程中,有时会遇到一个常见的警告信息:“DL is deprecated, please use Fiddle”。虽然这个警告并...
ruby-fiddle-web:因为JSFiddle非常棒。 持久性,版本和叉子Ruby片段
05-04
Ruby小提琴 能够创建Ruby代码片段,运行它们,进行分叉,共享,食用。...特此免费授予获得此软件和相关文档文件(“软件”)副本的任何人无限制地处理软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,
Ruby 使用 Fiddle 调用 C 函数
weixin_34327761的博客
05-25 679
Ruby 使用 Fiddle 调用 C 函数 写一个c函数 split.c double split(double num) { double ret = 0; ret = num / 2; return ret; } 编译成动态库 gcc -o libsplit.so -shared split.c 在 split.rb ...
Ruby Fiddle 项目使用教程
gitblog_00395的博客
08-27 339
Ruby Fiddle 项目使用教程 fiddleA libffi wrapper for Ruby.项目地址:https://gitcode.com/gh_mirrors/fidd/fiddle 1. 项目的目录结构及介绍 Ruby Fiddle 项目的目录结构相对简单,主要包含以下几个部分: fiddle/ ├── bin/ │ └── fiddle # 可执行文件 ├─...
推荐一款开源的Ruby代码在线调试工具:ruby-fiddle-web
gitblog_00058的博客
03-18 347
推荐一款开源的Ruby代码在线调试工具:ruby-fiddle-web 如果你正在学习或使用Ruby语言进行开发,那么这款开源的Ruby代码在线调试工具——ruby-fiddle-web将会是你的好帮手。 项目简介 ruby-fiddle-web是一个基于Web的Ruby代码调试平台,可以让你在浏览器中直接运行、测试和分享你的Ruby代码片段。它的功能包括实时编译、执行Ruby代码,并能够查看程序...
Fiddler快速入门
weixin_34245169的博客
02-11 756
Fiddler是一个免费、强大、跨平台的HTTP抓包工具。Wireshark也是一个强大的抓包工具,不过Wireshark是一个通用的抓包工具,主要精力放在各种协议上了,针对HTTP的特定功能较少。所以如果你需要研究HTTP包的话,Fiddler一定是最适合的工具。 下载和安装 我们可以到Fidller下载页...
ruby 2.0.0p0 : DL is deprecated, please use Fiddle
Kinley.H的专栏
03-29 5433
The message you received it's common on  ruby 2.0.0p0 (2013-02-24) on top ofWindows The message "DL is deprecated, please use Fiddle" is not an error; it's only a warninig The source is the Deprec
Ruby on rails安装后去掉DL is deprecated,please use Fiddle警告信息的方法
sinat_40572875的博客
11-21 243
本文实例讲述了Ruby on rails安装后去掉DL is deprecated,please use Fiddle警告信息的方法。对运行什么的没有影响,只是Dl过时了,可是Ruby大大不管这个问题,可是看着就烦呐~~希望本文所述对大家Ruby on rails程序设计有所帮助。终于我们的世界又清净了许多!
ruby-opengl:Ruby的另一个OpenGL包装器(和包装器代码生成器)
02-04
使用Fiddle(包装libffiRuby标准库之一) 与opengl( )不同,您不需要构建C扩展库 使用Khronos XML API注册表( ) 命令/枚举包装器代码是通过“ gl.xml”生成的 支持OpenGL-4.6,OpenGL ES-3.1和所有OpenGL...
CodeBox:受CodePen和JSFiddle启发的沙盒编码环境,桌面应用程序
04-29
它受到Codepen和JsFiddle的启发 为什么要使用CodeBox? CodeBox优于CodePen和JSFiddle中的编辑器,因为CodeBox具有与VS Code相同的编辑器。 这意味着它具有自动完成功能,语法高亮显示以及我们都从VS Code中学到并...
【HTTP】Fiddler(一) - Fiddler简介
ajuvfe4150的博客
03-30 2433
目录(?)[-] 为什么是Fiddler 什么是Fiddler Fiddler使用界面简介 1.为什么是Fiddler? 抓包工具有很多,小到最常用的web调试工具firebug,达到通用的强大的抓包工具wireshark.为什么使用fiddler?原因如下: a.Firebug虽然可以抓包,但是对于分析http请求的详细信息,不够强大。模...
API安全推荐厂商瑞数信息入选IDC《中国数据安全技术发展路线图》
科技云报道
09-20 243
本次IDC TechScape研究根据技术的市场影响以及各技术的发展阶段,将包括API安全在内的22个新兴及重要的数据安全技术分为变革型技术、增量型技术以及机会型技术三大类别,详细阐述每个单项数据安全技术的发展程度、技术优劣势,并给出IDC在不同技术领域下的产品推荐厂商名录。内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
一款能够管控企业计算机的安全系统 | 企业终端安全管控 | 天锐DLP数据安全
tipray的博客
09-20 217
天 锐 DLP可帮助企业规范对电脑计算机的使用管理,对USB存储设备、终端外节设备、桌面壁纸进行统一管控,支持限制控制面板、计算机管理、系统下的相关功能选项的使用。天锐DLP可对计算机的基础功能使用进行限制,例如禁用控制面板、禁止增加打印机、禁止删除打印机、禁用设备管理器、禁用磁盘管理、禁用本地用户和组等相关功能。系统支持对计算机系统属性菜单即显示、安全策略、个性化、系统、桌面相关属性的配置管控。通讯接口设备:串口、并口、红外线、蓝牙设备等;其他:USB存储设备、声音设备、拨号连接等。
【农信网-注册/登录安全分析报告】
09-16 1447
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
哦 卷!
09-14 910
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
远程跨境传输大文件如何做到安全又稳定?
镭速的博客
09-14 785
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。
企业如何构建有效的数据泄露防护安全体系
A526847的博客
09-14 772
在当今数字化时代,企业数据已成为核心资产,其安全性直接关系到企业的竞争力、客户信任度以及法律合规性。数据泄露事件频发,不仅会导致经济损失,还可能损害企业声誉和客户关系。因此,构建有效的数据泄露防护安全体系已成为企业不可或缺的重要任务。
数据保护从现在开始:如何抵御 .[RestoreBackup@cock.li].SRC 勒索病毒
最新发布
数据恢复研究℃
09-20 586
通过综合采取以上预防措施,可以显著降低感染 .[RestoreBackup@cock.li].SRC 、[chewbacca@cock.li].SRC勒索病毒的风险。保持警惕、定期备份数据以及更新安全防护措施是确保数据安全的重要策略。预防永远胜于治疗,积极的安全态度是抵御网络攻击的最佳保障。以下是2024常见传播的勒索病毒,表明勒索病毒正在呈现多样化以及变种迅速地态势发展。
fiddle4和fiddle everywhere的区别
05-10
Fiddle Everywhere是一个跨平台的桌面应用程序,它提供了一个类似于Fiddle4的界面和功能,但可以在Windows、Linux和macOS等操作系统上运行,并且可以调试多种编程语言的代码,如JavaScript、Python、Ruby等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值