CVE-2019-16201: WEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性

WEBrick の Digest 認証のモジュールに正規表現 Denial of Service (DoS) 脆弱性が発見されました。攻撃者はこの脆弱性によって、巧妙に作られたダイジェストを送信することで破滅的なバックトラックを起こさせることができます。

この脆弱性は CVE-2019-16201 として登録されています。

この問題の影響を受けるバージョンの Ruby ユーザは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.3 以前のすべてのリリース
  • Ruby 2.4.7 以前のすべての Ruby 2.4 系列
  • Ruby 2.5.6 以前のすべての Ruby 2.5 系列
  • Ruby 2.6.4 以前のすべての Ruby 2.6 系列
  • Ruby 2.7.0-preview1
  • commit 36e057e26ef2104bc2349799d6c52d22bb1c7d03 より前の開発版

クレジット

この脆弱性情報は、358 氏によって報告されました。

更新履歴

  • 2019-10-01 20:00:00 (JST) 初版