堆栈内存溢出
  繁体   English   中英

Heroku潜在的安全漏洞在Ruby和YAML解析命令行检查中

[英]Heroku Potential security vulnerability in Ruby and YAML parsing command line check

 原文  2014-04-07 01:16:01       ruby-on-rails/ ruby/ security/ heroku/ yaml

问题描述

我收到了这封Heroku漏洞邮件:

https://www.ruby-lang.org/en/news/2014/03/29/heap-overflow-in-yaml-uri-escape-parsing-cve-2014-2525/?mkt_tok=3RkMMJWWfF9wsRonuKjAZKXonjHpfsX%2B6u8vXaO%2FlMI %2F0ER3fOvrPUfGjI4ASsNjI%2BSLDwEYGJlv6SgFQrjAMapmyLgLUhE%3D

在电子邮件中,它说:

检查您是否受到影响

在您的应用上运行以下内容: 

 $ heroku run “ruby -rpsych -e \”p Psych.libyaml_version.join(‘.’)\”” -a <app name>

如果您看到以下错误消息,那么您不容易受到攻击,可以忽略此电子邮件的其余部分: 

  <internal:lib/rubygems/custom_require>:29:in `require': no such file to load -- psych (LoadError)
  from <internal:lib/rubygems/custom_require>:29:in `require'

不幸的是,当我运行它时,出现了错误(使用Mac): 

 -bash: syntax error near unexpected token `('

如何正确运行上面的命令行? 谢谢。

1 个解决方案

解决方案1
 6 已采纳  2014-04-07 02:08:38

$ heroku run “ruby -rpsych -e \”p Psych.libyaml_version.join(‘.’)\”” -a <app name>

有右手和左手引号: '

将这些改为开头的直引号: "'

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 通过ID进行用户枚举的Ruby on Rails安全漏洞 这些Ruby版本中存在`heroku&#39;命令: 这些Ruby版本中是否存在heroku命令? Ruby的JWT令牌安全性检查 具有Rails安全漏洞的FCKEditor 在yaml文件中写入时Ruby On Rails和Heroku问题 在ruby / rails中使用rake并在解析YAML时出错 如何从Ruby检查heroku数据库版本 Ruby Gem命令行工具 Ruby命令行MVC框架?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM