CGI 库中的拒绝服务 (DoS) 漏洞 (CVE-2006-5467)

在 Ruby 自带的 CGI 库 (cgi.rb) 中发现了一个漏洞,恶意用户可以利用该漏洞创建拒绝服务 (DoS) 攻击。当发送一个使用 multipart MIME 编码的 HTTP 请求,并且其边界标识符以“-”而不是“–”开头时,会触发此问题。一旦触发,它将耗尽所有可用的内存资源,从而有效地创建一个 DoS 条件。

Ruby 1.8.5 和所有早期版本都存在此漏洞。此漏洞以 CVE-2006-5467 的形式公开。

受影响的版本

1.8 系列
1.8.5 和所有早期版本
开发版本 (1.9 系列)
2006-09-23 之前的所有版本

解决方案

1.8 系列
请在更新到 Ruby 1.8.5 后应用此补丁
  • CGI DoS 补丁 (367 字节; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)

请注意,您的软件包管理软件可能已经提供了修复此漏洞的软件包。

开发版本 (1.9 系列)
请将您的 Ruby 更新到 2006 年 9 月 23 日之后的版本。

参考