Вразливість DoS у бібліотеці CGI (CVE-2006-5467)

Опублікував maki 03-11-2006
Переклав: Andrii Furmanets

Виявлено вразливість у бібліотеці CGI (cgi.rb), яка постачається з Ruby, яку може використати зловмисний користувач для створення атаки типу “відмова в обслуговуванні” (DoS). Проблема виникає при надсиланні бібліотеці HTTP запиту, який використовує кодування multipart MIME та має недійсний специфікатор межі, який починається з “-“ замість “–”. Після виникнення вона вичерпає всі доступні ресурси пам’яті, ефективно створюючи умову DoS.

Ruby 1.8.5 та всі попередні версії вразливі. Ця вразливість відкрита для публіки як CVE-2006-5467.

Вразливі версії

Серія 1.8

1.8.5 та всі попередні версії

Версія розробки (серія 1.9)

Всі версії до 2006-09-23

Рішення

Серія 1.8

Будь ласка, застосуйте патч після оновлення до Ruby 1.8.5:

• Патч DoS CGI (367 байтів; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)

Будь ласка, зверніть увагу, що пакет, який виправляє цю слабкість, може вже бути доступний через ваше програмне забезпечення управління пакетами.

Версія розробки (серія 1.9)

Будь ласка, оновіть ваш Ruby до версії після 23 вересня 2006 року.

Посилання

• [SEC] Mongrel Тимчасове виправлення для атаки DoS cgi.rb 99% CPU