由 maki 发布于 2006 年 11 月 3 日
在 Ruby 自带的 CGI 库 (cgi.rb) 中发现了一个漏洞,恶意用户可以利用该漏洞创建拒绝服务 (DoS) 攻击。当发送一个使用 multipart MIME 编码的 HTTP 请求,并且其边界标识符以“-”而不是“–”开头时,会触发此问题。一旦触发,它将耗尽所有可用的内存资源,从而有效地创建一个 DoS 条件。
Ruby 1.8.5 和所有早期版本都存在此漏洞。此漏洞以 CVE-2006-5467 的形式公开。
受影响的版本
- 1.8 系列
- 1.8.5 和所有早期版本
- 开发版本 (1.9 系列)
- 2006-09-23 之前的所有版本
解决方案
- 1.8 系列
- 请在更新到 Ruby 1.8.5 后应用此补丁
- CGI DoS 补丁 (367 字节; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
请注意,您的软件包管理软件可能已经提供了修复此漏洞的软件包。
- 开发版本 (1.9 系列)
- 请将您的 Ruby 更新到 2006 年 9 月 23 日之后的版本。