CGI 库中发现新的 DoS 漏洞
由 Shugo Maeda 于 2006 年 12 月 4 日发布
Ruby 自带的 CGI 库 (cgi.rb) 中发现了一个新的漏洞,恶意用户可利用该漏洞发起拒绝服务攻击 (DoS)。
此漏洞已公开,编号为JVN#84798830。
请注意,之前的补丁(<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch>)未能解决此问题。
影响
对使用cgi.rb的任何Web应用程序的特定HTTP请求会导致运行Web应用程序的机器上的CPU消耗。许多此类请求会导致拒绝服务。
受影响的版本
- 1.8 系列
- 1.8.5 及所有 prior 版本
- 开发版本(1.9 系列)
- 2006-12-04之前的所有版本
解决方案
- 1.8 系列
-
请升级到1.8.5-p2。
<URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 字节, md5sum: a3517a224716f79b14196adda3e88057)
请注意,您的包管理软件可能已经提供了纠正此弱点的软件包。
- 开发版本(1.9 系列)
- 请将您的Ruby更新到2006-12-04之后的版本。
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日