2018 年 3 月彙整
CVE-2018-6914: Tempfile 與 Tmpdir 肆意建立檔案與目錄
Ruby 內建的 tmpdir 函式庫存在非預期的目錄建立風險。Ruby 內建的 tmpfile 函式庫內部用了 tmpdir,因此也存在檔案建立存在安全性風險。
由 usa 發表於 2018-03-28
CVE-2018-8779: UNIXServer 與 UNIXSocket 可傳入 NUL 字元肆意建立 socket
Ruby 內建的 socket 函式庫 UNIXServer.open 建立 socket 存在安全性風險。UNIXSocket.open 存在非預期的存取風險。
由 usa 發表於 2018-03-28
CVE-2018-8777: WEBrick 巨大請求造成的阻斷服務
Ruby 內建的 WEBrick 在處理巨大請求時存在記憶體溢出風險。 此風險的 CVE 識別號為 CVE-2018-8777。
由 usa 發表於 2018-03-28
CVE-2017-17742: WEBrick HTTP 響應切分
Ruby 內建的 WEBrick 存在 HTTP 響應切分(response splitting)安全性風險。 此風險的 CVE 識別號為 CVE-2017-17742。
由 usa 發表於 2018-03-28
CVE-2018-8778: String#unpack 緩衝區溢位
String#unpack 方法存在緩衝區溢位的安全性風險。
此風險的 CVE 識別號為 CVE-2018-8778。
由 usa 發表於 2018-03-28