Geschrieben von usa am 28.3.2018
Übersetzt von Marvin Gülker
Der in Ruby enthaltene WEBrick verbraucht den gesamten Arbeitsspeicher, wenn man ihm eine große Anfrage schickt. Dieser Schwachstelle wurde die CVE-Nummer CVE-2018-8777 zugewiesen.
Details
Wenn ein Angreifer eine große Anfrage mit riesigen HTTP-Kopfzeilen an WEBrick schickt, versucht die Software, diese vollständig im Arbeitsspeicher zu verarbeiten. Dadurch kann die Anfrage zum Verbrauch des Arbeitsspeichers und so zu einem DoS-Angriff benutzt werden.
Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.
Betroffene Versionen
- Ruby 2.2er-Serie: 2.2.9 und früher
- Ruby 2.3er-Serie: 2.3.6 und früher
- Ruby 2.4er-Serie: 2.4.3 und früher
- Ruby 2.5er-Serie: 2.5.0 und früher
- Ruby 2.6er-Serie: 2.6.0-preview1
- Trunk vor Revision r62965
Danksagung
Dank geht an Eric Wong e@80x24.org, der den Fehler gemeldet hat.
Historie
- Erstveröffentlicht am 2018-03-28 14:00:00 (UTC)