Celah Keamanan Escape Sequence Injection pada WEBrick
• Kunto Aji - Last modified atWEBrick, yang merupakan bagian dari library resmi dari Ruby, telah ditemukan celah keamanan, yaitu memungkinkan attacker melakukan malicious escape sequences injection ke file log WEBrick. Dengan begitu, hal ini memungkinkan karakter kontrol yang berbahaya dieksekusi pada terminal emulator korban.
Berikut contoh memunculkan bug ini.
Versi-versi Ruby yang memiliki celah keamanan ini:
- Ruby 1.8.6 patchlevel 383 dan versi-versi sebelumnya
- Ruby 1.8.7 patchlevel 248 dan versi-versi sebelumnya
- Versi development dari Ruby 1.8 (1.8.8dev)
- Ruby 1.9.1 patchlevel 376 dan versi-versi sebelumnya
- Versi development dari Ruby 1.9 (1.9.2dev)
Solusi
Gunakan versi ruby berikut untuk mengatasi bug ini.
Untuk Ruby 1.8.7, Update ke 1.8.7 pl. 249.
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.tar.gz
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.tar.bz2
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.zip
Untuk Ruby 1.9.1, update ke 1.9.1 pl. 378.
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.tar.gz
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.tar.bz2
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.zip
Untuk Ruby 1.8.6, update ke 1.8.6 pl. 388.
Recent Posts
Subdomain Hijacking
My dormant subdomain was recently hijacked, redirecting it to a online gamble registration page.
C# DbContext ServiceLifeTime
my note about C Sharp ServiceLifeTime
PostgreSQL Index Usage Monitoring
Having too many unused or underused indexes on a table can slow down write and update operations in your PostgreSQL database, making it crucial to regularly identify and manage them for optimal performance.
KAK Labs Newsletter #6 - Staying Safe From Pegasus Spyware
Newsletter #6 - Pegasus, Ruby, PostgreSQL and networkQuality tool
Material Design - Paragraph Spacing
According to Google's Material Design, keep paragraph spacing in the range between .75x and 1.25x of the type size.