rdocをアンインストールすると、UbuntuをRubyのRDoc XSSの脆弱性から安全にすることができますか?

私はちょうど http ://www.ruby-lang.org/en/news/2013/02/06/rdoc-xss-cve-2013-0256/ 、RDocのXSSエクスプロイトに関するレポート。

私はUbuntu 12.04を使用しています.Ubuntuはすぐにこの脆弱性に対処することになります。

すべてのRDocドキュメントを削除し、 rdoc 実行ファイルをアンインストールすると、この脆弱性から私は安全になりますか?

私はRDoc文書を一般公開していませんが、この脆弱性を忘れてしまった場合、私自身の閲覧のために gem server を実行することがあります。

2
nl ru de
@MichaelPapileお願いしてくれてありがとう。編集されました。
追加された 著者 Andrew Grimm,
RDoc文書を一般公開していますか?
追加された 著者 Michael Papile,

2 答え

起動方法を調整すると、 gem server をローカルで安全に実行する必要があります。

gem server -b 127.0.0.1
Server started at http://127.0.0.1:8808

他のマシンからはアクセスできない、IPアドレスは127.0.0.1であることに注意してください。内部接続にのみ使用されるループバックです。

開発ホストの1人で上記のサーバーを起動し、デスクトップからそのサーバーにヒットしようとしました。接続できませんでした。

IRBのOpenURIとNokogiriを使ってそのボックスからそれを打つと、

Nokogiri::HTML(open('http://127.0.0.1:8808')).at('title').text
=> "RubyGems Documentation Index"

だから何かが生きていると私のログが表示されます:

localhost - - [06/Feb/2013:16:08:56 MST] "GET/HTTP/1.1" 200 52435
- -> /
1
追加された
単にサーバーを利用可能にするだけで、誰かが要求に応じてサーバーにDOSを実行することで偽善者を引き起こす可能性があります。私のマシンにファイアウォールがない場合は、通常の設定として127.0.0.1を使用します。
追加された 著者 the Tin Man,
何とか外部にさらされたとしても、どうして危険なのでしょうか?このXSSが悪用される方法は、誰かに細工されたリンクを送信することです。サーバー上のファイルは変更されません。誰かが彼または他の人物を騙して自分のサーバーへのその細工されたリンクをクリックすると、それは安全ではないでしょう。
追加された 著者 Michael Papile,
私はあなたの意見に同意しますが、ファイアウォールを使わない接続では、これは通常のバインド引数で外部に公開されますが、それでもやはり彼の方法を妥協しません。彼の宝石のサーバーが公開されている場合、理論的に誰かが彼自身のサーバーへの細工されたリンクをクリックすることを彼を騙すかもしれないので、ローカルを削除するために私の答えを編集しました。
追加された 著者 Michael Papile,
本当ですが、それは本当に彼の質問ではありません。彼の質問は、このXSSエクスプロイトが彼を脆弱にするかどうかです。インターネットに不必要なサービスを公開していないということは、これの範囲を超えていると思う基本的なセキュリティです。
追加された 著者 Michael Papile,

悪意のあるユーザーが独自のサーバーへの細工されたリンクを提供していない限り、あなたの場合は安全です。基本的に誰かがこの悪用を使ってrdocをホストしていた場合、悪意のあるユーザーはURL内のターゲット参照にコードを入れて、誰かに細工されたリンクを送ることができます。 CVEの差分を見ると、もともと変数 "target"が保護されていないラッピングコードに渡されていたことが分かります。それから、誰かが http://example.com/rdoc/File.html#codeのようなものを送信して、Cookieを盗み出すものを犠牲者のブラウザから表示させることができます。

1
追加された