https://blog.qife122.com/tags/marshal/ Recent content in Marshal on 办公AI智能小助手 Hugo zh-cn qife Fri, 26 Sep 2025 13:59:14 +0800 https://blog.qife122.com/p/ruby-marshal%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%BC%94%E8%BF%9B%E5%8F%B2%E4%BB%8E%E7%AE%80%E5%8D%95%E6%BC%8F%E6%B4%9E%E5%88%B0%E5%B7%A5%E4%B8%9A%E5%8C%96%E5%88%A9%E7%94%A8/ Fri, 26 Sep 2025 13:59:14 +0800 https://blog.qife122.com/p/ruby-marshal%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%BC%94%E8%BF%9B%E5%8F%B2%E4%BB%8E%E7%AE%80%E5%8D%95%E6%BC%8F%E6%B4%9E%E5%88%B0%E5%B7%A5%E4%B8%9A%E5%8C%96%E5%88%A9%E7%94%A8/ <h1 id="marshal疯狂ruby反序列化漏洞利用简史">Marshal疯狂：Ruby反序列化漏洞利用简史</h1> <h2 id="理解marshal反序列化漏洞">理解Marshal反序列化漏洞</h2> <p>2024年12月12日，Ruby语言的CI服务器某处刚刚发布了3.4.0-rc1版本。Ruby开发者们并不知道，存在一个微妙的bug允许进行Marshal反序列化利用。这段代码已经16年未被修改，因此没有任何理由怀疑存在问题。然而，几周前Luke Jahnke发布了一种新的Marshal利用技术，但消息尚未传开。就在圣诞节前，补丁被合并，Ruby 3.4.0最终发布时已不包含易受攻击的代码。危机得以避免。</p>