CVE-2018-8777: DoS великим запитом в WEBrick

Опублікував usa 28-03-2018
Переклав: Andrii Furmanets

Є вразливість DoS поза пам’яттю з великим запитом в WEBrick, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2018-8777.

Деталі

Якщо зловмисник надсилає великий запит, який містить величезні HTTP заголовки, WEBrick намагається обробити його в пам’яті, тому запит спричиняє DoS атаку поза пам’яттю.

Всі користувачі, які запускають зачеплений випуск, повинні оновитися негайно.

Зачеплені версії

• Серія Ruby 2.2: 2.2.9 та раніше
• Серія Ruby 2.3: 2.3.6 та раніше
• Серія Ruby 2.4: 2.4.3 та раніше
• Серія Ruby 2.5: 2.5.0 та раніше
• Серія Ruby 2.6: 2.6.0-preview1
• до ревізії trunk r62965

Подяка

Дякуємо Eric Wong e@80x24.org за повідомлення про проблему.

Історія

• Спочатку опубліковано 2018-03-28 14:00:00 (UTC)