CVE-2018-8777: WEBrick 大请求 DoS 缺陷

Ruby 捆绑的 WEBrick 存在一个通过发送大请求耗尽内存的 DoS 缺陷。此缺陷已被分配 CVE 标识符 CVE-2018-8777

细节

如果攻击者发送包含巨大请求头的请求,WEBrick 会尝试在内存中处理它,从而此类请求可以被用于发动耗尽内存的 DoS 攻击。

所有使用受影响版本的用户应立即升级。

受影响版本

  • Ruby 2.2 系列:2.2.9 及更早版本
  • Ruby 2.3 系列:2.3.6 及更早版本
  • Ruby 2.4 系列:2.4.3 及更早版本
  • Ruby 2.5 系列:2.5.0 及更早版本
  • Ruby 2.6 系列:2.6.0-preview1
  • SVN trunk 早于 r62965 的所有版本

鸣谢

感谢 Eric Wong e@80x24.org 报告了此问题。

历史

  • 最早于 2018-03-28 14:00:00 (UTC) 发布