CGI 库中的另一个 DoS 漏洞

在 Ruby 附带的 CGI 库 (cgi.rb) 中发现了另一个漏洞,恶意用户可以利用该漏洞创建拒绝服务攻击 (DoS)。

此漏洞已公开,编号为 JVN#84798830

请注意,之前的补丁 (<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch>) 并不能解决此问题。

影响

针对任何使用 cgi.rb 的 Web 应用程序的特定 HTTP 请求都会导致运行该 Web 应用程序的机器上的 CPU 消耗。许多此类请求会导致拒绝服务。

受影响的版本

1.8 系列
1.8.5 及所有更早版本
开发版本(1.9 系列)
2006-12-04 之前的所有版本

解决方案

1.8 系列

请升级到 1.8.5-p2。

<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 字节, md5sum: a3517a224716f79b14196adda3e88057)

请注意,通过您的软件包管理软件可能已经提供了更正此漏洞的软件包。

开发版本(1.9 系列)
请将您的 Ruby 更新到 2006-12-04 之后的版本。