CVE-2018-8777:WEBrick 中因大型请求导致的 DoS 攻击

Ruby 自带的 WEBrick 存在一个因大型请求而导致内存溢出的 DoS 漏洞。此漏洞已被分配 CVE 标识符 CVE-2018-8777

详情

如果攻击者发送包含大量 HTTP 标头的大型请求,WEBrick 会尝试在内存中处理它,因此该请求会导致内存溢出的 DoS 攻击。

所有运行受影响版本的用户应立即升级。

受影响的版本

  • Ruby 2.2 系列:2.2.9 及更早版本
  • Ruby 2.3 系列:2.3.6 及更早版本
  • Ruby 2.4 系列:2.4.3 及更早版本
  • Ruby 2.5 系列:2.5.0 及更早版本
  • Ruby 2.6 系列:2.6.0-preview1
  • trunk 版本 r62965 之前的版本

致谢

感谢 Eric Wong [email protected] 报告此问题。

历史记录

  • 最初发布于 2018-03-28 14:00:00 (UTC)