layout: news_post

title: "Denial of Service and Unsafe Object Creation Vulnerability in JSON (CVE-2013-0269)"

author: "usa"

lang: en

There is a denial of service and unsafe object creation vulnerability in

the json bundled with ruby. This vulnerability has been assigned the CVE

identifier CVE-2013-0269. We strongly recommend to upgrade ruby.

When parsing certain JSON documents, the JSON gem (includes bundled with

ruby) can be coerced in to creating Ruby symbols in a target system.

Since Ruby symbols are not garbage collected, this can result in a

denial of service attack.

The same technique can be used to create objects in a target system that

act like internal objects. These \"act alike\" objects can be used to

bypass certain security mechanisms and can be used as a spring board for

SQL injection attacks in Ruby on Rails.

Impacted code looks like this:

JSON.parse(user_input)

Where the \`user\_input\` variable will have a JSON document like this:

{"json_class":"foo"}

The JSON gem will attempt to look up the constant \"foo\". Looking up

this constant will create a symbol.

In JSON version 1.7.x, objects with arbitrary attributes can be created

using JSON documents like this:

{"json_class":"JSON::GenericObject","foo":"bar"}

This document will result in an instance of JSON::GenericObject, with

the attribute \"foo\" that has the value \"bar\". Instantiating these

objects will result in arbitrary symbol creation and in some cases can

be used to bypass security measures.

PLEASE NOTE: this behavior \*does not change\* when using \`JSON.load\`.

\`JSON.load\` should \*never\* be given input from unknown sources. If

you are processing JSON from an unknown source, \*always\* use

\`JSON.parse\`.

All users running an affected release should either upgrade or use one

of the work arounds immediately.

For users that cannot upgrade ruby or JSON gem, change your code from

this:

JSON.parse(json)

To this:

JSON.parse(json, :create_additions => false)

If you cannot change the usage of \`JSON.parse\` (for example you\'re

using a gem which depends on \`JSON.parse\` like multi\_json), then

apply this monkey patch:

module JSON

class << self

alias :old_parse :parse

def parse(json, args = {})

args[:create_additions] = false

old_parse(json, args)

end

end

end

* All ruby 1.9 versions prior to ruby 1.9.3 patchlevel 392

* All ruby 2.0 versions prior to ruby 2.0.0 patchlevel 0

* prior to trunk revision 39208

A huge thanks goes to the following people for responsibly disclosing

this issue and working with the Rails team to get it fixed:

* Thomas Hollstegge of Zweitag (www.zweitag.de)

* Ben Murphy

* Originally published at 2013-02-22 12:00:00 (UTC)

layout: news_post

title: "Entity expansion DoS vulnerability in REXML (XML bomb)"

author: "usa"

lang: en

Unrestricted entity expansion can lead to a DoS vulnerability in REXML.

(The CVE identifier will be assigned later.) We strongly recommend to

upgrade ruby.

When reading text nodes from an XML document, the REXML parser can be

coerced in to allocating extremely large string objects which can

consume all of the memory on a machine, causing a denial of service.

Impacted code will look something like this:

document = REXML::Document.new some_xml_doc

document.root.text

When the \`text\` method is called, entities will be expanded. An

attacker can send a relatively small XML document that, when the

entities are resolved, will consume extreme amounts of memory on the

target system.

Note that this attack is similar to, but different from the Billion

Laughs attack. This is also related to CVE-2013-1664 of Python.

All users running an affected release should either upgrade or use one

of the work arounds immediately.

If you cannot upgrade Ruby, use this monkey patch as a workaround:

class REXML::Document

@@entity_expansion_text_limit = 10_240

def self.entity_expansion_text_limit=( val )

@@entity_expansion_text_limit = val

end

def self.entity_expansion_text_limit

@@entity_expansion_text_limit

end

end

class REXML::Text

def self.unnormalize(string, doctype=nil, filter=nil, illegal=nil)

sum = 0

string.gsub( /\r\n?/, "\n" ).gsub( REFERENCE ) {

s = self.expand($&, doctype, filter)

if sum + s.bytesize > REXML::Document.entity_expansion_text_limit

raise "entity expansion has grown too large"

else

sum += s.bytesize

end

s

}

end

def self.expand(ref, doctype, filter)

if ref[1] == ?#

if ref[2] == ?x

[ref[3...-1].to_i(16)].pack('U*')

else

[ref[2...-1].to_i].pack('U*')

end

elsif ref == '&amp;'

'&'

elsif filter and filter.include?( ref[1...-1] )

ref

elsif doctype

doctype.entity( ref[1...-1] ) or ref

else

entity_value = DocType::DEFAULT_ENTITIES[ ref[1...-1] ]

entity_value ? entity_value.value : ref

end

end

end

This monkey patch will limit the size of the entity substitutions to 10k

per node. REXML already defaults to only allow 10000 entity

substitutions per document, so the maximum amount of text that can be

generated by entity substitution will be around 98 megabytes.

* All ruby 1.9 versions prior to ruby 1.9.3 patchlevel 392

* All ruby 2.0 versions prior to ruby 2.0.0 patchlevel 0

* prior to trunk revision 39384

Thanks to Ben Murphy for reporting this issue.

* Originally published at 2013-02-22 12:00:00 (UTC)

layout: news_post

title: "Ruby 1.9.3-p392 is released"

author: "usa"

lang: en

Now Ruby 1.9.3-p392 is released. I apologize for updating too

frequently.

This release includes security fixes about bundled JSON and REXML.

* [Denial of Service and Unsafe Object Creation Vulnerability in JSON

(CVE-2013-0269)][1]

* [Entity expansion DoS vulnerability in REXML (XML bomb)][2]

And some small bugfixes are also included.

See [tickets][3] and [ChangeLog][4] for details.

You can download this release from:

* [&lt;URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.bz2&gt;][5]

SIZE: 10024221 bytes

MD5: a810d64e2255179d2f334eb61fb8519c

SHA256: 5a7334dfdf62966879bf539b8a9f0b889df6f3b3824fb52a9303c3c3d3a58391

* [&lt;URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.gz&gt;][6]

SIZE: 12557294 bytes

MD5: f689a7b61379f83cbbed3c7077d83859

SHA256: 8861ddadb2cd30fb30e42122741130d12f6543c3d62d05906cd41076db70975f

* [&lt;URL:ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.zip&gt;][7]

SIZE: 13863402 bytes

MD5: 212fb3bc41257b41d1f8bfe0725916b7

SHA256: f200ce4a63ce57bea64028a507350717c2a16bdbba6d9538bc69e9e7c2177c8b

Many committers, testers and users who gave bug reports helped me to

make this release. Thanks for their contributions.

[1]: http://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/

[2]: http://www.ruby-lang.org/en/news/2013/02/22/rexml-dos-2013-02-22/

[3]: https://bugs.ruby-lang.org/projects/ruby-193/issues?set_filter=1&amp;status_id=5

[4]: http://svn.ruby-lang.org/repos/ruby/tags/v1_9_3_392/ChangeLog

[5]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.bz2

[6]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.gz

[7]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.zip

layout: news_post

title: "JSON におけるサービス不能攻撃および安全でないオブジェクトの生成について (CVE-2013-0269)"

author: "usa"

lang: ja

ruby にバンドルされている JSON に関して、サービス不能攻撃 (DoS)

および安全でないオブジェクトの生成を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-0269 として CVE

に登録されています。 ユーザーの皆さんには ruby を更新することを強くお勧めします。

対象のシステムに JSON ドキュメントをパースさせる際に、JSON gem (ruby にバンドルされているものを含む) に対して Ruby

の Symbol オブジェクトを生成させることができます。 Ruby は Symbol

オブジェクトをガーベッジコレクションで回収しないので、結果としてサービス不能攻撃が成立し得ます。

同じテクニックを利用し、対象のシステムにオブジェクトを生成させ、内部のオブジェクトのように扱わせることができます。

これらの「内部のオブジェクトのように扱われる」オブジェクトは、既存のセキュリティ機構をすり抜け、たとえば Ruby on Rails に対する

SQL インジェクションの踏み台などに利用することができます。

影響を受けるコードは以下のようなものです:

JSON.parse(user_input)

\`user\_input\` 変数は以下のような JSON ドキュメントを指しています:

{"json_class":"foo"}

JSON gem は定数 \"foo\" を検索しようと試みます。 この検索の際に Symbol オブジェクトが生成されます。

さらに、JSON version 1.7.x においては、以下のような JSON

ドキュメントを用いて任意の属性を持つオブジェクトを生成できます:

{"json_class":"JSON::GenericObject","foo":"bar"}

このドキュメントは JSON::GenericObject のインスタンスとなり、値が \"bar\" である属性 \"foo\" を持ちます。

このようなオブジェクトのインスタンス化により任意の Symbol

が生成可能であり、また特定の場合にはセキュリティ上の制限を回避するために使用できます。

*注意*\: \`JSON.load\` を使用する場合、この挙動は*変更されません*。 \`JSON.load\`

には信頼できない入力元からのデータを*決して*与えるべきではありません。 もし信頼できない入力元からの JSON

ドキュメントを処理する場合には、*常に* \`JSON.parse\` を使用してください。

影響を受けるバージョンの ruby を使用している全てのユーザーは、速やかに、ruby を更新するか、以下の回避策を適用して下さい。

もし ruby あるいは JSON gem を更新できない場合、以下のコード:

JSON.parse(json)

を、次のように変更してください:

JSON.parse(json, :create_additions => false)

もし \`JSON.parse\` 使用部分を直接変更できない場合 (例えば multi\_json のように内部で

\`JSON.parse\` を実行している gem を利用している場合など)、以下のモンキーパッチを適用して下さい:

module JSON

class << self

alias :old_parse :parse

def parse(json, args = {})

args[:create_additions] = false

old_parse(json, args)

end

end

end

* ruby 1.9.3 patchlevel 392 より前の全ての ruby 1.9 系列

* ruby 2.0.0 patchlevel 0 より前の全ての ruby 2.0 系列

* revision 39208 より前の開発版 (trunk)

この問題を正しく見つけ出し、Rails チームと共に解決してくれた以下の人々に多大な感謝を捧げます:

* Thomas Hollstegge of Zweitag (www.zweitag.de)

* Ben Murphy

* 2013-02-22 21:00:00 (JST) 初版

Posted by usa on 22 Feb 2013

{: .post-info}