Інша вразливість DoS у бібліотеці CGI

Опублікував Shugo Maeda 04-12-2006
Переклав: Andrii Furmanets

Виявлено іншу вразливість у бібліотеці CGI (cgi.rb), яка постачається з Ruby, яку може використати зловмисний користувач для створення атаки типу “відмова в обслуговуванні” (DoS).

Ця вразливість відкрита для публіки як JVN#84798830.

Будь ласка, зверніть увагу, що попередній патч (<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch>) не виправляє цю проблему.

Вплив

Специфічний HTTP запит для будь-якої веб-програми, яка використовує cgi.rb, спричиняє споживання CPU на машині, на якій працює веб-програма. Багато таких запитів призводять до відмови в обслуговуванні.

Вразливі версії

Серія 1.8

1.8.5 та всі попередні версії

Версія розробки (серія 1.9)

Всі версії до 2006-12-04

Рішення

Серія 1.8

Будь ласка, оновіться до 1.8.5-p2.

<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 байтів, md5sum: a3517a224716f79b14196adda3e88057)

Будь ласка, зверніть увагу, що пакет, який виправляє цю слабкість, може вже бути доступний через ваше програмне забезпечення управління пакетами.

Версія розробки (серія 1.9)

Будь ласка, оновіть ваш Ruby до версії після 2006-12-04.