CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性について

Posted by usa on 28 Mar 2018

Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。

詳細

標準添付ライブラリ WEBrick において、攻撃者によって巨大な HTTP ヘッダを持つリクエストが送信された場合、これをメモリ上で処理しようとしているため、メモリを浪費してしまい DoS 攻撃が成立するようになっていました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

• Ruby 2.2.9 以前の全ての Ruby 2.2 系列
• Ruby 2.3.6 以前の全ての Ruby 2.3 系列
• Ruby 2.4.3 以前の全ての Ruby 2.4 系列
• Ruby 2.5.0
• Ruby 2.6.0-preview1
• revision 62965 より前の開発版

クレジット

この脆弱性情報は、Eric Wong 氏 e@80x24.org によって報告されました。

更新履歴

• 2018-03-28 23:00:00 (JST) 初版