Vulnerabilidad DoS en biblioteca CGI
Publicado por Diego Algorta Casamayou el 2006-12-04
Ha sido descubierta una vulnerabilidad en la biblioteca CGI (cgi.rb) que viene con Ruby. Esta puede ser usada por un usuario malicioso para crear un ataque de denegación de servicio (DoS). El problema se dispara enviando a la biblioteca una solicitud (request) HTTP que use codificación MIME multiparte y tiene un delimitador inválido que comienza con “-” en vez de “–”. Una vez ejecutado agotará todos los recursos de memoria disponibles creando así una condición de DoS.
Ruby 1.8.5 y todas las versiones anteriores son vulnerables. Esta vulnerabilidad está abierta al público como CVE-2006-5467.
Versiones vulnerables
- series 1.8
- 1.8.5 y todas las versiones anteriores
- Versión de desarrollo (series 1.9)
- Todas las versiones anteriores al 2006-09-23
Solución
- series 1.8
- Por favor aplica el parche después de actualizarte a Ruby 1.8.5:
- CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
Recuerda que puede ya estar disponible un paquete que corrige esta debilidad a través de tu software de administración de paquetes.
- Versión de desarrollo (series 1.9)
- Por favor actualiza tu Ruby a una versión posterior al 23 de setiembre del 2006.
Referencias
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23