CGI 库 DoS 漏洞 (CVE-2006-5467)

由 maki 于 2006 年 11 月 3 日发布

Ruby 自带的 CGI 库 (cgi.rb) 中发现了一个漏洞，恶意用户可利用该漏洞发起拒绝服务攻击 (DoS)。该问题在库接收到使用 multipart MIME 编码且边界分隔符无效（以“-”开头而非“--”）的 HTTP 请求时触发。一旦触发，将耗尽所有可用内存资源，从而造成 DoS 条件。

Ruby 1.8.5 及之前的所有版本均易受攻击。此漏洞已公开，编号为 CVE-2006-5467。

易受攻击的版本

1.8 系列

1.8.5 及所有 prior 版本

开发版本（1.9 系列）

2006-09-23 之前的所有版本

解决方案

1.8 系列

请在更新到 Ruby 1.8.5 后应用此补丁

• CGI DoS 补丁 (367 字节; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)

请注意，您的包管理软件可能已经提供了纠正此弱点的软件包。

开发版本（1.9 系列）

请将您的 Ruby 更新到 2006 年 9 月 23 日之后的版本。

参考文献

• [安全] Mongrel 临时修复 cgi.rb 99% CPU DoS 攻击