Publicado por Diego Algorta Casamayou el 2006-12-04
Otra vulnerabilidad ha sido descubierta en la biblioteca CGI (cgi.rb) que viene incluída con Ruby y podría ser usada por un usuario malicioso para crear un ataque de denegación de servicio (DoS).
Esta vulnerabilidad está abierta al público como JVN#84798830.
Tener en cuenta que el parche previo no corrige este problema.
Impacto
Una solicitud HTTP específica para cualquier aplicación web que use cgi.rb causa el consumo de CPU en la máquina en la que se ejecuta la aplicación web. Muchas de estas solicitudes tienen como resultado la denegación de servicio.
Versiones vulnerables
- series 1.8
- 1.8.5 y todas las versiones anteriores
- Versión de desarrollo (series 1.9)
- Todas las versiones anteriores al 2006-12-04
Solución
- series 1.8
-
Por favor actualízate a la versión 1.8.5-p2.
<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 bytes, md5sum: a3517a224716f79b14196adda3e88057)
Recuerda que puede ya estar disponible un paquete que corrige esta debilidad a través de tu software de administración de paquetes.
- Versión de desarrollo (series 1.9)
- Por favor actualiza tu Ruby a una versión posterior al 2006-12-04.