我刚刚读了 http://www.ruby-lang.org/en/news/2013/02/06/rdoc-xss-cve-2013-0256/,一篇关于RDoc中XSS漏洞的报告。
我使用的是 Ubuntu 12.04,我怀疑 Ubuntu 不会很快处理这个漏洞。
删除所有 RDoc 文档并卸载 rdoc 可执行文件是否会使我免受此漏洞的影响?
我不向公众托管 RDoc 文档,但如果我忘记了此漏洞,我偶尔可能会运行gem server供自己查看。
在您的情况下,除非您有恶意用户为您提供指向您自己的服务器的构建链接,否则您是安全的。 基本上,如果有人使用此漏洞托管 rdoc,恶意用户可以通过将代码放入 URL 的目标引用中来向某人发送构建的链接。 如果您查看 CVE 中的差异,您可以看到变量"target"最初被传递到未受保护的包装代码中。 然后有人可以发送类似http://example.com/rdoc/File.html#code to inject cookie stealing stuff的东西,这将由受害者浏览器呈现。
如果您调整gem server的启动方式,则在本地运行它应该是安全的:
宝石服务器 -b 127.0.0.1服务器在 http://127.0.0.1:8808 启动
请注意,它位于 IP 127.0.0.1 上,无法从其他计算机访问,只能从你的计算机访问。它是环回,仅用于内部连接。
我在其中一个开发主机上启动了上述服务器,并尝试从桌面访问它。连接失败,表示无法建立连接。
在IRB中使用OpenURI和Nokogiri从该框中击中它返回:
Nokogiri::HTML(open('http://127.0.0.1:8808')).at('title').text
=> "RubyGems Documentation Index"
所以有些人还活着,我的日志显示:
localhost - - [06/Feb/2013:16:08:56 MST] "GET / HTTP/1.1" 200 52435
- -> /