我刚读到一篇关于rdoc中xss漏洞的报道。
我在ubuntu 12.04上,我怀疑ubuntu会很快处理这个漏洞。
删除所有RDOC文档并卸载rdoc可执行文件是否会使我免受此漏洞的攻击?
我不向公众托管rdoc文档,但如果忘记此漏洞,我有时可能会运行gem server以供自己查看。

最佳答案

在您的情况下,您是安全的,除非您有一个恶意用户给您一个精心编制的链接到您自己的服务器。基本上,如果有人利用此漏洞托管RDOC,恶意用户可以通过将代码放入URL中的目标引用中,向某人发送精心编制的指向此漏洞的链接。如果您查看CVE中的diff,您可以看到原来变量“target”是未受保护地传递给包装代码的然后有人可以发送类似http://example.com/rdoc/File.html#code to inject cookie stealing stuff的内容,这些内容将由受害者浏览器呈现。

关于ruby - 卸载rdoc可以使Ruby RDoc XSS漏洞使Ubuntu安全吗?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/14739942/

10-12 15:53