CVE-2018-8777: Tấn công DoS bằng yêu cầu lớn trong WEBrick

Đăng bởi usa vào 28 Mar 2018

Có một lỗ hổng DoS gây tràn bộ nhớ với yêu cầu lớn trong WEBrick được đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2018-8777.

Chi tiết

Nếu kẻ tấn công gửi một yêu cầu lớn chứa các header HTTP khổng lồ, WEBrick cố gắng xử lý nó trên bộ nhớ, dẫn đến tấn công DoS tràn bộ nhớ.

Tất cả người dùng đang chạy phiên bản bị ảnh hưởng nên nâng cấp ngay lập tức.

Các phiên bản bị ảnh hưởng

• Ruby dòng 2.2: 2.2.9 trở về trước
• Ruby dòng 2.3: 2.3.6 trở về trước
• Ruby dòng 2.4: 2.4.3 trở về trước
• Ruby dòng 2.5: 2.5.0 trở về trước
• Ruby dòng 2.6: 2.6.0-preview1
• trước trunk revision r62965

Ghi công

Cảm ơn Eric Wong e@80x24.org đã báo cáo vấn đề này.

Lịch sử

• Công bố lần đầu vào 2018-03-28 14:00:00 (UTC)