Ruby 1.8.x中BigDecimal的Dos漏洞

最新推荐文章于 2025-04-27 09:07:45 发布
原创 最新推荐文章于 2025-04-27 09:07:45 发布 · 114 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。

在Ruby1.8.x版本中发现一个易受DoS攻击的漏洞,该漏洞涉及BigDecimal对象转换为Float数时引发段错误。此问题影响多数Rails应用。尽管Rails2.3.3将进行部分修复,但最终解决方案是升级Ruby版本。

Ruby 1.8.x的所有版本中发现了一个易被DoS攻击的漏洞:

\
将BigDecimal对象转换成Float数的时候会导致一个问题,这个问题使得攻击者能够很容易得到段错误。
\由于ActiveRecord即依赖于这个方法,所以大多数Rails应用程序都会被影响到。虽然这个并不只是Rails的问题。
\

Riding Rails博客也指出了这个漏洞

\
即将发布的Rails 2.3.3将会有一些小改动,减少了一些这个漏洞中可能被攻击的vectors数量。但是这些改动不会关闭每一个可能遭受攻击的方法,用户仍然需要不断尽快升级升级他们的Ruby安装程序。
\

这篇博文同样指向了了NZkoz的bigdecimal-segfault-fix,无法升级Ruby的用户的一个临时修复方法这篇文章,这也是一个解决办法,但是这个修正版本可能会破坏应用程序,所以升级是唯一一个合适的解决方法。

\

所有的Ruby 1.8.x版本都被影响了,第一个修正的Ruby版本Ruby 1.8.6-p3691.8.6 FTP下载链接)和Ruby 1.8.7-p1731.8.7 FTP下载链接)。

\

JRuby貌似也被影响了。Bug JRUBY-3744跟踪了这个问题:

\
JRuby貌似也同样被影响了。它不会崩溃,但是会陷入无限循环中。
\

这个样例输出记录了这种行为。

\

一个实验的结论揭示了在bigdecimal-segfault-fix中使用的解决方法是一个临时的解决方法,因为它仅仅是修改了BigDecimal类,然后在使用过大的数的时候抛出异常。但是在JRuby中,这种代码却失败了,而不是保持JRuby线程继续工作;很显然这种代码的修改不能够支持更大的数。

\

Ruby 1.9.x的用户不会被影响

\

查看英文原文:DoS Vulnerability in BigDecimal

java.math.BigDecimal类详解
阿杰同学的博客
10-25 4666
一、BigDecimal概述 ​ Java在java.math包中提供的API类BigDecimal,用来对超过16位有效位的数进行精确的运算。双精度浮点型变量double可以处理16位有效数,但在实际应用中,可能需要对更大或者更小的数进行运算和处理。一般情况下,对于那些不需要准确计算精度的数字,我们可以直接使用Float和Double处理,但是Double.valueOf(String) 和Float.valueOf(String)会丢失精度。所以开发中,如果我们需要精确计算的结果,则必须使用BigDec
BigDecimal中的DoS攻击漏洞
crazycode
06-10 426
一个新的拒绝服务( DoS漏洞已被发现,影响所有版本的Ruby 1.8.x : 转换BigDecima对象到Float数时出现了问题,使攻击者能够有效地产生段故障。 ActiveRecord依赖于这种方法,因此大多数Rails的应用受到此问题的影响。虽然这不是一个Rails的特殊问题。 Riding Rails博客还指出这一脆弱性: 即将发布的Rails的2.3.3版本将包括一...
BigDecimal 的 4 个坑,你踩过几个?
m0_71777195的博客
07-25 1767
Java在java.math包中提供的API类BigDecimal,用来对超过16位有效位的数进行精确的运算。双精度浮点型变量double可以处理16位有效数,但在实际应用中,可能需要对更大或者更小的数进行运算和处理。一般情况下,对于不需要准确计算精度的数字,可以直接使用Float和Double处理,但是Double.valueOf(String)和Float.valueOf(String)会丢失精度。所以如果需要精确计算的结果,则必须使用BigDecimal类来操作。...
Ruby BigDecimal库拒绝服务漏洞
weixin_34257076的博客
06-19 180
影响版本: Yukihiro Matsumoto Ruby 1.8.x 漏洞描述: BUGTRAQ ID: 35278 CVE(CAN) ID: CVE-2009-1904 Ruby是一种功能强大的面向对象的脚本语言。 Ruby所使用的BigDecimal标准函数库中存在拒绝服务漏洞,在将BigDecimal对象转换为浮点数时可能会触发分段错误,导致链接到该库...
Ruby中的数值
weixin_30301183的博客
05-03 215
数值类型 Ruby中所有数值都是Numeric类的子类对象,数值都是不可变对象。 数值类型的继承关系如下: Integer是整数,Float是浮点数类型,Rational是分数。 对于整数,要么是Fixnum,要么是Bignum:Fixnum是比较小整数的类型(31个二进制位),Bignum是较大整数的类型。实际上,Ruby中的整数可以变得任意大。但是浮点数不会任意大,浮点数位数达到一点程度后会...
Can't find a codec for class java.math.BigDecimal.txt
05-30
解决mongo数据插入时 报错问题 mogodb插入数据时报错Can't find a codec for class java.math.BigDecimal
java.math.BigDecimal 操作类
08-23
java.math.BigDecimal 操作类,包含加减乘除、String型加减乘除精度格式化转换计算等
java BigDecimal 类型求和: reduce(BigDecimal.ZERO, BigDecimal::add)
清晨qc的博客
12-13 5273
reduce(BigDecimal.ZERO, BigDecimal::add);
Bigdecimal.js
09-03
总的来说,"Bigdecimal.js"是JavaScript开发中的一个强大工具,尤其对于需要处理大量金钱计算或者其他需要高精度数值操作的项目来说,它提供了一种可靠且易用的解决方案。通过深入理解和应用这个库,开发者能够确保...
[纸上谈兵]BigDecimal源码学习
知识搬运工
06-28 2532
一、BigDecimal声明新来同事看到我们代码中BigDeciaml用法,感觉比较奇怪,由此引出了这篇文章使用下面方式声明BigDecimal时,会出现精度问题BigDecimal bd3 = new BigDecimal(0.1D);推荐用法BigDecimal bd1 = new BigDecimal("0.1D");BigDecimal bd2 = BigDecimal.valueOf(1...
ruby参考手册VI
withyou
11-04 480
ruby 1.6 特性 ruby version 1.6是稳定版。在该版本中,主要修改了一些bug。 stable-snapshot是稳定版的源代码,且每日更新。 1.6.8 (2002-12-24) -> stable-snapshot 2003-01-22: errno 在EAGAIN与EWOULDBLOCK同值的系统中,EWOULDBLOCK消失不见...
BigDecimal:精确浮点数计算的艺术
gitblog_00432的博客
04-27 748
在软件开发中,对于高精度数值计算的需求屡见不鲜。当内置数据类型无法满足精度要求时,BigDecimal 成为了 Ruby 开发者的得力助手。 ## 项目介绍 BigDecimal 是一个 Ruby 库,提供了一种任意精度的十进制浮点数类。它允许开发者进行高精度的数学计算,避免了传统浮点数在计算时可能出现的精度损失问题。BigDecimal 的设计目标是确保数值计算的准确性和可靠性。 ## 项...
Ruby中浮点数转换问题的解决办法
pickerel
10-28 572
ruby中输入 puts (10.12 * 100).to_i  结果将会是1011,是不是有点不可思议 如何解决这个问题呢? require 'bigdecimal' puts (BigDecimal.new(10.12.to_s) * 100).to_i   转化成BigDecimal类型再处理,这样就没有问题了。 ...
细数Java BigDecimal中的坑
百分百空手接白刃
02-18 1290
##1. 引言 在商业中,往往要求结果精确,这时BigDecimal就用到了,在Mysql中 decimal(19,4) 生成的实体类对象也是BigDecimal类型的。 ##2. BigDecimal构造方法 public BigDecimal(double val) //将double表示形式转换为BigDecimal public BigDecimal(int val) //将int表...
BigDecimal使用中踩过的坑
dcm19920115的博客
05-26 1847
实际项目涉及支付金额相关经常会使用BigDecimal,在使用过程中踩过坑: (1BigDecimal做除法运算时一定要指定精度,如: BigDecimal bg1 = BigDecimal.valueOf(1D); BigDecimal bg2 = BigDecimal.valueOf(2D); BigDecimal value = bg1.divide(bg2); System.out...
BigDecimal不可变对象导致的bug
hello world
06-14 1767
BigDecimal对象是不可变对象,这里想要实现累加的效果 uncheckdMoney.add(xxx); 是不可能的,要想实现的话 得是uncheckdMoney= uncheckdMoney.add(xxx); 所以要千万注意这种不可变对象的赋值情况,也是自己粗心大意 记录一下 引以为戒 ...
浅谈BigDecimal
菜鸟很菜的专栏
08-18 7927
看图 如图 读过effective java的都知道,其中第49条就是:如果需要精确的答案,请避免使用float和double 所以在涉及到货币计算的时候一般使用BigDecimal 分析 但是BigDecimal也要讲究使用方法,否则也可能事与愿违,没有获得你想要的效果。 BigDecimal.valueof(0.99),可以看一下此方法的具体实现:
.reduce(BigDecimal.ZERO, BigDecimal::add);
最新发布
07-12
new Invoice("A02", BigDecimal.valueOf(19.99), BigDecimal.valueOf(1.5)), new Invoice("A03", BigDecimal.valueOf(4.99), BigDecimal.valueOf(2)) ); BigDecimal sum = invoices.stream() .map(x -> x....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值