結構致命的な脆弱性なんだけど、そんなに騒がれていないのは何故だろう。まぁ、おかげで攻撃を受ける前に全環境にパッチを当てることができた。商用環境を抱えるとこの辺の動きがどうしても鈍くなる。

まずはRuby公式の発表から。
REXMLのDoS脆弱性
DoS vulnerability in REXML

ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。

とある。わざとぼかしてあるのかもしれないが、これでは不十分。管理者が明示的にRailsデフォルトのある機能を無効にしていない限り、全てのRailsアプリケーションはこの攻撃に対して脆弱となっている。これはRails-1.1.6・1.2.6・2.1.0の各バージョンで確認できた。

世の中の九分九厘のRailsアプリケーションはパッチを当てる必要があるはずだ。もちろん、Rubricksもその例外ではないので利用されている方は最新版に更新するか自前でモンキーパッチを適用して頂きたい。

既にこの脆弱性に関して警鐘を鳴らしている方達
・Railsの脆弱性: XML実体爆発攻撃
・Rails が即死する REXML の DoS 脆弱性について
・「REXMLのDoS脆弱性」が恐ろしい件