Marshal madness: A brief history of Ruby deserialization exploits
9 months ago
- #Ruby
- #Deserialization
- #Security
- Ruby的Marshal模块长期以来存在反序列化漏洞,形成了补丁与绕过不断循环的局面。
- 2013年首次记录该问题,揭示了Ruby 2.0.0中Marshal.load方法的危险性。
- 攻击技术持续演进,研究人员如Luke Jahnke和William Bowling相继发布了通用RCE反序列化工具链。
- 现代技术使用CodeQL等高级程序分析工具来发现漏洞利用链。
- Ruby 3.4和RubyGems.org近期漏洞表明Marshal相关问题依然存在。
- 建议措施包括审计Marshal使用情况、替换为更安全的替代方案,以及弃用不安全方法。