由 Shugo Maeda 发布于 2008 年 6 月 20 日
Ruby 中的多个漏洞可能导致拒绝服务(DoS)状况或允许执行任意代码。
影响
利用以下漏洞,攻击者可能导致拒绝服务状况或执行任意代码。
受影响的版本
- 1.8 系列
-
- 1.8.4 及所有之前的版本
- 1.8.5-p230 及所有之前的版本
- 1.8.6-p229 及所有之前的版本
- 1.8.7-p21 及所有之前的版本
- 1.9 系列
-
- 1.9.0-1 及所有之前的版本
解决方案
- 1.8 系列
- 请升级到 1.8.5-p231,或 1.8.6-p230,或 1.8.7-p22。
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)
- 1.9 系列
- 请升级到 1.9.0-2。
- <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)
这些版本还修复了 WEBrick 的漏洞(CVE-2008-1891)。
请注意,您的软件包管理软件可能已经提供了修复此漏洞的软件包。
鸣谢
感谢 Apple 产品安全的 Drew Yao 向 Ruby 安全团队披露了此问题。
更改
- 2008-06-21 00:29 +09:00 移除了错误的 CVE ID(CVE-2008-2727,CVE-2008-2728)。