前田です。

2008/08/23 17:03 Shugo Maeda <shugo / ruby-lang.org>:
> = REXMLのDoS脆弱性
>
> RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見さ
> れました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザか
> ら与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態
> にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆
> 弱です。

* Rails固有の問題との誤解を与える。
* アプリケーションでREXMLを明示的に使用していない場合にも問題があることが
  わかりにくい。

といったご指摘をいただき、文面を修正しました。

http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/
----------------------------------------------------------------------------------------------
Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion
attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。

Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。
----------------------------------------------------------------------------------------------

この脆弱性の影響を受ける方は速やかに対策されることをお勧めします。

-- 
Shugo Maeda