coderhs
diff --git a/‎de/news/_posts/2013-02-23-denial-of-service-cve-2013-0269.md
+111 b/‎de/news/_posts/2013-02-23-denial-of-service-cve-2013-0269.md
+111
diff --git a/‎de/news/_posts/2013-02-23-rexml-bombe.md
+109 b/‎de/news/_posts/2013-02-23-rexml-bombe.md
+109
diff --git a/‎de/news/_posts/2013-02-23-ruby-1-9-3-p392-verffentlicht.md
+80 b/‎de/news/_posts/2013-02-23-ruby-1-9-3-p392-verffentlicht.md
+80
@@ -0,0 +1,111 @@
+---
+layout: news_post
+title: "Denial-of-Service- und Objekterstellungs-Sicherheitslücken in JSON (CVE-2013-0269)"
+author: "Quintus"
+lang: de
+---
+
+Es ist möglich, einen Denial-of-Service- und Objekterstellungs-Angriff
+auf die mit Ruby ausgelieferte `json`-Bibliothek durchzuführen. Dieser
+Sicherheitslücke wurde die CVE-Nummer *CVE-2013-0269* zugewiesen und wir
+empfehlen dringend, Ruby zu aktualisieren.
+
+### Details
+
+Beim Parsen gewisser JSON-Dokumente kann der `json`-Gem (auch der mit
+Ruby mitgelieferte) dazu gebracht werden, Ruby-Symbole in ein Zielsystem
+einzuschleusen. Da Ruby-Symbole bekanntlich nicht von der Garbage
+Collection betroffen sind, kann dies für einen Denial-of-Service-Angriff
+ausgenutzt werden.
+
+Dieselbe Technik kann genutzt werden, um auf einem Zielsystem Objekte zu
+erstellen, die sich wie interne Objekte verhalten. Diese erscheinen nach
+außen hin normal, können aber zur Umgehung bestimmter
+Sicherheitsmechanismen benutzt werden und damit als Sprungbrett für
+SQL-Injection-Angriffe in RubyOnRails dienen.
+
+Betroffener Code sieht so aus:
+
+{% highlight ruby %}
+JSON.parse(user_input)
+{% endhighlight %}
+
+Wobei die `user_input`-Variable ein JSON-Dokument hält, das etwa so
+aussieht:
+
+    
+    {"json_class":"foo"}
+
+Der JSON-Gem wird daraufhin versuchen, die Konstante `foo`
+nachzuschlagen und dabei ein Symbol erzeugen.
+
+In `json` Version 1.7.x können Objekte mit beliebigen Attributen wie
+folgt erstellt werden:
+
+    
+    {"json_class":"JSON::GenericObject","foo":"bar"}
+
+Dieses Dokument erzeugt eine Instanz von `JSON::GenericObject` mit einem
+Attribut `foo`, das den Wert `"bar"` hält. Durch die Instanziierung
+solcher Objekte können beliebige Symbole erzeugt werden und in einigen
+Fällen sogar Sicherheitsmechanismen umgangen werden.
+
+BITTE BEACHTEN: Dieses Verhalten **ändert sich nicht** bei der
+Verwendung von `JSON.load`. `JSON.load` sollte man **niemals** Input aus
+nicht vertrauenswürdigen Quellen übergeben — wenn Se JSON aus nicht
+vertrauenswürdigen Quellen verarbeiten, benutzen Sie **immer**
+`JSON.parse`.
+
+Alle Nutzer eines betroffenen Release sollten entweder aktualisieren
+oder einen der folgenden Workarounds umgehend anwenden.
+
+### Workarounds
+
+Nutzer, die Ruby oder den JSON-Gem nicht aktualisieren können, sollten
+ihren Code von diesem:
+
+{% highlight ruby %}
+JSON.parse(json)
+{% endhighlight %}
+
+auf diesen ändern:
+
+{% highlight ruby %}
+JSON.parse(json, :create_additions => false)
+{% endhighlight %}
+
+Wenn Sie den `JSON.parse` nutzenden Code nicht anpassen können (weil Sie
+zum Beispiel einen Gem wie `multi_json` verwenden, der von `JSON.parse`
+abhängt), verwenden Sie diesen Monkeypatch:
+
+{% highlight ruby %}
+module JSON
+  class << self
+    alias :old_parse :parse
+    def parse(json, args = {})
+      args[:create_additions] = false
+      old_parse(json, args)
+    end
+  end
+end
+{% endhighlight %}
+
+### Betroffene Versionen
+
+* Alle Versionen von Ruby 1.9 vor 1.9.3-p392
+* Alle Versionen von Ruby 2 vor 2.0.0-p0
+* Alle Trunk-Revisionen vor Revision 39208
+
+### Danksagung
+
+Großer Dank geht an die folgenden Personen, die das Problem
+verantwortungsvoll gemeldet („responsible disclosure“) und mit dem
+Rails-Team zusammengearbeitet haben, um es zu beheben:
+
+* Thomas Hollstegge von *Zweitag* (www.zweitag.de)
+* Ben Murphy
+
+### Verlauf
+
+* Erstmals veröffentlicht: 2013-02-22 12:00:00 (UTC)
+
@@ -0,0 +1,109 @@
+---
+layout: news_post
+title: "Entitätsexpansion-DoS-Schwachstelle in REXML (XML-Bombe)"
+author: "Quintus"
+lang: de
+---
+
+Unkontrollierte Expansion von Entitäten in REXML kann zu einer
+DoS-Verwundbareit führen (die CVE-Nummer wird später noch zugewiesen).
+Wir empfehlen stark, Ruby zu aktualisieren.
+
+### Details
+
+Beim Lesen von Textknoten aus einem XML-Dokument kann der REXML-Parser
+dazu gebracht werden, extrem große String-Objekte zu allokieren, die den
+gesamten Arbeitsspeicher eines Rechners verbrauchen und somit für eine
+Denial-of-Service-Attacke genutzt werden können.
+
+Betroffener Code sieht so aus:
+
+{% highlight ruby %}
+document = REXML::Document.new some_xml_doc
+document.root.text
+{% endhighlight %}
+
+Wenn die #text-Methode aufgerufen wird, werden die Entitäten expandiert.
+Ein Angreifer kann so mithilfe eines verhältnismäßig kleinen
+XML-Dokuments erreichen, dass bei der Expansion der Entitäten extreme
+Mengen an Arbeitsspeicher auf dem Zielsystem verbraucht werden.
+
+Beachten Sie, dass dieser Angriff dem „Billion Laughs“-Angriff ähnlich
+ist, sich aber dennoch von diesem unterscheidet. Er ist auch mit Pythons
+*CVE-2013-1664* verwandt.
+
+Alle Nutzer eines betroffenen Release sind angehalten, entweder umgehend
+zu aktualisieren oder den folgenden Workaround anzuwenden.
+
+### Workaround
+
+Wenn Sie Ruby nicht aktualisieren können, benutzen Sie diesen
+Monkeypatch als Notlösung:
+
+{% highlight ruby %}
+class REXML::Document
+  @@entity_expansion_text_limit = 10_240
+
+  def self.entity_expansion_text_limit=( val )
+    @@entity_expansion_text_limit = val
+  end
+
+  def self.entity_expansion_text_limit
+    @@entity_expansion_text_limit
+  end
+end
+
+class REXML::Text
+  def self.unnormalize(string, doctype=nil, filter=nil, illegal=nil)
+    sum = 0
+    string.gsub( /\r\n?/, "\n" ).gsub( REFERENCE ) {
+      s = self.expand($&, doctype, filter)
+      if sum + s.bytesize > REXML::Document.entity_expansion_text_limit
+        raise "entity expansion has grown too large"
+      else
+        sum += s.bytesize
+      end
+      s
+    }
+  end
+
+  def self.expand(ref, doctype, filter)
+    if ref[1] == ?#
+      if ref[2] == ?x
+        [ref[3...-1].to_i(16)].pack('U*')
+      else
+        [ref[2...-1].to_i].pack('U*')
+      end
+    elsif ref == '&amp;'
+      '&'
+    elsif filter and filter.include?( ref[1...-1] )
+      ref
+    elsif doctype
+      doctype.entity( ref[1...-1] ) or ref
+    else
+      entity_value = DocType::DEFAULT_ENTITIES[ ref[1...-1] ]
+      entity_value ? entity_value.value : ref
+    end
+  end
+end
+{% endhighlight %}
+
+Der Monkeypatch begrenzt die Größe der Entitätsersetzungen auf 10.000
+pro Knoten; REXML besitzt bereits eine Standardbegrenzung auf 10.000
+Entitätsersetzungen pro Dokument, sodass die durch Entitätsersetzung
+maximal erzeugbare Menge an Text sich um etwa 98 Megabyte bewegen wird.
+
+### Betroffene Versionen
+
+* Alle Versionen von Ruby 1.9 vor 1.9.3-p392
+* Alle Versionen von Ruby 2 vor 2.0.0-p0
+* Alle Trunk-Revisionen vor Revision 39384
+
+### Danksagung
+
+Vielen Dank an Ben Murphy für das Melden dieses Problems.
+
+### Verlauf
+
+* Erstmals veröffentlicht am 2013-02-22 12:00:00 (UTC)
+
@@ -0,0 +1,80 @@
+---
+layout: news_post
+title: "Ruby 1.9.3-p392 veröffentlicht"
+author: "Quintus"
+lang: de
+---
+
+Ruby 1.9.3-p392 ist nun auch noch veröffentlicht worden — wir
+entschuldigen uns für diese häufigen Releases, aber hierbei handelt es
+sich um wichtige Sicherheitsaktualisierungen.
+
+Hierbei handelt es sich um die neueste stabile Version der 1.9er-Serie.
+Sie enthält Sicherheitsfixes für die mit Ruby mitgelieferten JSON- und
+REXML-Bibliotheken, nebst einigen kleineren Bugfixes.
+
+* [Entitätsexpansion-DoS-Schwachstelle in REXML][1]
+* [Denial-of-Service- und Objekterstellungs-Sicherheitslücken in
+  JSON][2]
+
+Siehe die [Tickets][3] und das [Changelog][4] für weitere Informationen.
+
+### Download
+
+[ruby-1.9.3-p392.tar.bz2][5]
+
+: **MD5-Summe**
+  
+  a810d64e2255179d2f334eb61fb8519c
+  
+  **SHA256**
+  
+  5a7334dfdf62966879bf539b8a9f0b889df6f3b3824fb52a9303c3c3d3a58391
+  
+  **Größe**
+  
+  10\.024.221 Byte
+
+[ruby-1.9.3-p392.tar.gz][6]
+
+: **MD5-Summe**
+  
+  f689a7b61379f83cbbed3c7077d83859
+  
+  **SHA256**
+  
+  8861ddadb2cd30fb30e42122741130d12f6543c3d62d05906cd41076db70975f
+  
+  **Größe**
+  
+  12\.557.294 Byte
+
+[ruby-1.9.3-p392.zip][7]
+
+: **MD5-Summe**
+  
+  212fb3bc41257b41d1f8bfe0725916b7
+  
+  **SHA256**
+  
+  f200ce4a63ce57bea64028a507350717c2a16bdbba6d9538bc69e9e7c2177c8b
+  
+  **Größe**
+  
+  13\.863.402 Byte
+
+### Danksagung
+
+Viele Commiter, Tester und Nutzer, die Fehler gemeldet haben, halfen uns
+sehr bei der Veröffentlichung dieser Version. Vielen Dank an alle eure
+Mitarbeit.
+
+
+
+[1]: http://www.ruby-lang.org/de/news/2013/02/23/rexml-bombe/ "XML-Bombe"
+[2]: http://www.ruby-lang.org/de/news/2013/02/23/denial-of-service-cve-2013-0269/ "CVE-2013-0269"
+[3]: https://bugs.ruby-lang.org/projects/ruby-193/issues?set_filter=1&amp;status_id=5 
+[4]: http://svn.ruby-lang.org/repos/ruby/tags/v1_9_3_392/ChangeLog 
+[5]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.bz2 
+[6]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.tar.gz 
+[7]: ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p392.zip