警告如果你的Ruby on Rails 网站还没有升级到3.2.10，那么服务器就危险了 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4779 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156?x=1

简单的说，RoR的YAML/XML反序列化有个bug，客户端可以包含任意Ruby代码让服务器执行。。。

傻瓜化入侵工具已经提交到了Metasploit。。。Rails老版本全部中招

@huacnlee

7 条回复 • 1970-01-01 08:00:00 +08:00

1

chloerei

2013 年 1 月 10 日

3.2.11 已经出来了

2

billychow

2013 年 1 月 10 日

谢谢提醒，看到这条消息，果断地把服务器上的一个 RoR 应用升级到最新版和 3.2.11 鸟。

3

Livid

MOD

PRO

2013 年 1 月 11 日

一个新的 botnet 诞生了。

4

naoki

2013 年 1 月 11 日

正在升级了

5

cxh116

2013 年 1 月 11 日

刚好可以用此漏洞抓些国外主机用来看国外资讯

6

acen

2013 年 1 月 11 日

@billychow 请问你升级后production.log文件每个请求间有空行么？我升级后没有了，好难看啊。

7

insub

2013 年 1 月 13 日

补救：
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion

关于 · 帮助文档 · 自助推广系统 · 博客 · API · FAQ · Solana · 883 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 35ms · UTC 20:16 · PVG 04:16 · LAX 12:16 · JFK 15:16
♥ Do have faith in what you're doing.