Vulnerabilidad DoS en biblioteca CGI

Ha sido descubierta una vulnerabilidad en la biblioteca CGI (cgi.rb) que viene con Ruby. Esta puede ser usada por un usuario malicioso para crear un ataque de denegación de servicio (DoS). El problema se dispara enviando a la biblioteca una solicitud (request) HTTP que use codificación MIME multiparte y tiene un delimitador inválido que comienza con “-” en vez de “–”. Una vez ejecutado agotará todos los recursos de memoria disponibles creando así una condición de DoS.

Ruby 1.8.5 y todas las versiones anteriores son vulnerables. Esta vulnerabilidad está abierta al público como CVE-2006-5467.

Versiones vulnerables

series 1.8
1.8.5 y todas las versiones anteriores
Versión de desarrollo (series 1.9)
Todas las versiones anteriores al 2006-09-23

Solución

series 1.8
Por favor aplica el parche después de actualizarte a Ruby 1.8.5:
  • CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)

Recuerda que puede ya estar disponible un paquete que corrige esta debilidad a través de tu software de administración de paquetes.

Versión de desarrollo (series 1.9)
Por favor actualiza tu Ruby a una versión posterior al 23 de setiembre del 2006.

Referencias