CVE-2018-8777: DoS-Angriff durch große Anfrage an WEBrick

Geschrieben von usa am 28.3.2018
Übersetzt von Marvin Gülker

Der in Ruby enthaltene WEBrick verbraucht den gesamten Arbeitsspeicher, wenn man ihm eine große Anfrage schickt. Dieser Schwachstelle wurde die CVE-Nummer CVE-2018-8777 zugewiesen.

Details

Wenn ein Angreifer eine große Anfrage mit riesigen HTTP-Kopfzeilen an WEBrick schickt, versucht die Software, diese vollständig im Arbeitsspeicher zu verarbeiten. Dadurch kann die Anfrage zum Verbrauch des Arbeitsspeichers und so zu einem DoS-Angriff benutzt werden.

Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.

Betroffene Versionen

• Ruby 2.2er-Serie: 2.2.9 und früher
• Ruby 2.3er-Serie: 2.3.6 und früher
• Ruby 2.4er-Serie: 2.4.3 und früher
• Ruby 2.5er-Serie: 2.5.0 und früher
• Ruby 2.6er-Serie: 2.6.0-preview1
• Trunk vor Revision r62965

Danksagung

Dank geht an Eric Wong e@80x24.org, der den Fehler gemeldet hat.

Historie

• Erstveröffentlicht am 2018-03-28 14:00:00 (UTC)