GLSA 200612-21: Ruby: Denial of Service vulnerability

Опасность:средняя
Заголовок:Ruby: Denial of Service vulnerability
Дата:20.12.2006
Ошибки: #157048
ID:200612-21

Сводка

The Ruby cgi.rb CGI library is vulnerable to a Denial of Service attack.

Назначение

Ruby is a dynamic, open source programming language with a focus on simplicity and productivity.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-lang/ruby < 1.8.5_p2 >= 1.8.5_p2 All supported architectures

Описание

The read_multipart function of the CGI library shipped with Ruby (cgi.rb) does not properly check boundaries in MIME multipart content. This is a different issue than GLSA 200611-12.

Воздействие

The vulnerability can be exploited by sending the cgi.rb library a crafted HTTP request with multipart MIME encoding that contains a malformed MIME boundary specifier. Successful exploitation of the vulnerability causes the library to go into an infinite loop.

Обход

There is no known workaround at this time.

Решение

All Ruby users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-lang/ruby-1.8.5_p2"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200612-21.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!