DoS Schwachstelle in BigDecimal
Geschrieben von Daniel Bovensiepen am 13.6.2009
Eine Denial of Service (DoS) Schwachstelle wurde innerhalb der Standard Bibliothek BigDecimal gefunden. Konvertierungen von BigDecimal Objekten nach Float konnten zu einem Fehler führen, den ein Angreifer ausnutzen konnte um "Segmentation Faults" zu erzeugen.
Da ActiveRecord eine solche Konvertierung einsetzt, sind die meisten Rails Anwendungen von diesem Fehler betroffen. Es sei jedoch angemerkt, dass dies kein Railsspezifischer Fehler ist.
Auswirkung
Ein Angreifer kann einen Denial of Service Angriff mithilfe von BigDecimal initiieren, in dem er extrem große Zahlen parst:
BigDecimal("9E69999999").to_s("F")
Anfällige Versionen
1.8 Serie
- 1.8.6-p368 und alle frühreren Versionen
- 1.8.7-p160 und alle frühreren Versionen
1.9 Serie
- Alle 1.9.1 Versionen sind nicht von diesem Fehler betroffen
Lösung
1.8 Serie
Bitte aktualisiere Ruby auf die Version 1.8.6-p369 oder ruby-1.8.7-p173.
Aktuelle Neuigkeiten
Ruby 3.4.2 veröffentlicht
Ruby 3.4.2 wurde veröffentlicht.
Geschrieben von k0kubun am 14.2.2025
Ruby 3.2.7 veröffentlicht
Ruby 3.2.7 wurde veröffentlicht.
Geschrieben von nagachika am 4.2.2025
Ruby 3.3.7 veröffentlicht
Ruby 3.3.7 wurde veröffentlicht.
Geschrieben von k0kubun am 15.1.2025
Ruby 3.4.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 3.4.0 bekannt zu geben. Ruby 3.4 führt den it-Blockparameter ein, ändert Prism zum Standardparser, bietet Happy Eyeballs Version...
Geschrieben von naruse am 25.12.2024