Shugo Maeda 于 2006 年 12 月 4 日发布
在 Ruby 附带的 CGI 库 (cgi.rb) 中发现了另一个漏洞,恶意用户可以利用该漏洞创建拒绝服务攻击 (DoS)。
此漏洞已公开,编号为 JVN#84798830。
请注意,之前的补丁 (<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch>) 并不能解决此问题。
影响
针对任何使用 cgi.rb 的 Web 应用程序的特定 HTTP 请求都会导致运行该 Web 应用程序的机器上的 CPU 消耗。许多此类请求会导致拒绝服务。
受影响的版本
- 1.8 系列
- 1.8.5 及所有更早版本
- 开发版本(1.9 系列)
- 2006-12-04 之前的所有版本
解决方案
- 1.8 系列
-
请升级到 1.8.5-p2。
<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 字节, md5sum: a3517a224716f79b14196adda3e88057)
请注意,通过您的软件包管理软件可能已经提供了更正此漏洞的软件包。
- 开发版本(1.9 系列)
- 请将您的 Ruby 更新到 2006-12-04 之后的版本。