GLSA 200611-12: Ruby: Denial of Service vulnerability

Опасность:средняя
Заголовок:Ruby: Denial of Service vulnerability
Дата:20.11.2006
Ошибки: #153497
ID:200611-12

Сводка

The Ruby cgi.rb CGI library is vulnerable to a Denial of Service attack.

Назначение

Ruby is a dynamic, open source programming language with a focus on simplicity and productivity.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-lang/ruby < 1.8.5-r3 >= 1.8.5-r3 All supported architectures

Описание

Zed Shaw, Jeremy Kemper, and Jamis Buck of the Mongrel project reported that the CGI library shipped with Ruby is vulnerable to a remote Denial of Service by an unauthenticated user.

Воздействие

The vulnerability can be exploited by sending the cgi.rb library an HTTP request with multipart MIME encoding that contains a malformed MIME boundary specifier beginning with "-" instead of "--". Successful exploitation of the vulnerability causes the library to go into an infinite loop waiting for additional nonexistent input.

Обход

There is no known workaround at this time.

Решение

All Ruby users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-lang/ruby-1.8.5-r3"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200611-12.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!