もう一つのCGIライブラリのDoS脆弱性について

Posted by Shugo Maeda on 4 Dec 2006

Rubyに標準で添付されているCGIライブラリ(cgi.rb)において、このライ ブラリを使用してCGIを作成した場合、DoS(Denial Of Service)状態を引 き起こしてしまうもう一つの脆弱性が存在することが発見されました。

この脆弱性については、 JVN#84798830 として公開されています。

先日報告した脆弱性 (CVE-2006-5467) とは別の脆弱性ですので、ご注意ください。 該当するバージョンのCGIライブラリを利用している場合は、対策を行う ことを推奨します。

影響

ruby標準ライブラリcgi.rbを利用しているWebアプリケーションに対して 特定のリクエストを送信すると、Webアプリケーションが動作しているマシンの CPU資源を消費させられてしまいます。 このようなリクエストが集中すると、DoS状態が引き起こされます。

脆弱性の存在するバージョン

1.8系

1.8.5以前の全てのバージョン

開発版(1.9系)

2006-12-04より前の全てのバージョン

各バージョンでの対応方法

1.8系

1.8.5-p2にアップグレードしてください。

<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151バイト, md5sum: a3517a224716f79b14196adda3e88057)

また、Rubyのパッケージを配布している各ベンダから、それぞれ、この脆弱性を修正した版のパッケージが提供されている場合もあります。 詳細については各ベンダにお問い合わせください。

開発版(1.9系)

2006-12-04以降のバージョンに更新してください。