卸载rdoc能让Ubuntu免受Ruby RDoc XSS漏洞的攻击吗？

Question

我刚刚读了http://www.ruby-lang.org/en/news/2013/02/06/rdoc-xss-cve-2013-0256/，这是一篇关于RDoc中XSS漏洞的报告。

我使用的是Ubuntu 12.04，我怀疑Ubuntu很快就会处理这个漏洞。

删除所有RDoc文档并卸载rdoc可执行文件会使我免受此漏洞的威胁吗？

我不向公众托管RDoc文档，但如果我忘记了这个漏洞，我偶尔可能会运行gem server供自己查看。

Answer 1

在您的情况下，您是安全的，除非您有恶意用户给您一个精心编制的链接到您自己的服务器。基本上，如果有人使用此漏洞攻击来托管rdoc，则恶意用户可以通过将代码放入URL的目标引用中，向他人发送特制的指向此漏洞的链接。如果您查看CVE中的diff，您可以看到最初变量"target“未受保护地传递给包装代码。然后有人可以发送像http://example.com/rdoc/File.html#code to inject cookie stealing stuff这样的东西，然后由受害者浏览器呈现出来。