RDoc の XSS エクスプロイトに関するレポートhttp://www.ruby-lang.org/en/news/2013/02/06/rdoc-xss-cve-2013-0256/を読みました。
私は Ubuntu 12.04 を使用していますが、Ubuntu がこの脆弱性にすぐに対処するとは思えません。
すべての RDoc ドキュメントを削除し、rdoc実行可能ファイルをアンインストールすると、この脆弱性を回避できますか?
私は RDoc 文書を一般に公開していませんが、gem serverこの脆弱性を忘れてしまった場合、自分の閲覧のために出馬することがあります。
あなたの場合、悪意のあるユーザーがあなた自身のサーバーへの細工されたリンクをあなたに与えない限り、あなたは安全です。基本的に、誰かがこのエクスプロイトでrdocをホストしている場合、悪意のあるユーザーは、URLのターゲット参照にコードを挿入することにより、これへの巧妙なリンクを誰かに送信できます。CVEの差分を見ると、元々変数「target」が保護されていないラッピングコードに渡されていたことがわかります。次に、誰かがhttp://example.com/rdoc/File.html#code to inject cookie stealing stuffそのようなものを送信する可能性があり、それは被害者のブラウザによってレンダリングされます。
gem server起動方法を調整すれば、ローカルで実行しても安全です。
宝石サーバー -b 127.0.0.1 サーバーは http://127.0.0.1:8808 で起動しました
IP 127.0.0.1 にあることに注意してください。他のマシンからはアクセスできず、自分のマシンだけがアクセスできます。これは、内部接続のみに使用されるループバックです。
開発ホストの 1 つで上記のサーバーを起動し、デスクトップからアクセスしようとしました。接続を確立できなかったと言って、接続に失敗しました。
IRB 内で OpenURI と Nokogiri を使用してそのボックスからヒットすると、次のように返されます。
Nokogiri::HTML(open('http://127.0.0.1:8808')).at('title').text
=> "RubyGems Documentation Index"
だから何かがそこに生きていて、私のログが示しています:
localhost - - [06/Feb/2013:16:08:56 MST] "GET / HTTP/1.1" 200 52435
- -> /