Posted by usa on 2 Nov 2006
Rubyに標準で添付されているCGIライブラリ(cgi.rb)において、このライブラリを使用してCGIを作成した場合、DoS(Denial Of Service)状態を容易に引き起こしてしまう脆弱性が存在することが発見されました。 この脆弱性については、CVE-2006-5467として公開されています。
該当するバージョンのCGIライブラリを利用している場合は、対策を行うことを推奨します。
脆弱性の存在するバージョン
- 1.8系
- 1.8.5以前の全てのバージョン
- 開発版(1.9系)
- 2006-09-23以前の全てのバージョン
各バージョンでの対応方法
- 1.8系
-
1.8.5に更新した上で、パッチを適用してください。 このパッチのmd5sumは9d25f59d1c33a0b215f6c25260dcb536、サイズは367バイトです。
また、Rubyのパッケージを配布している各ベンダから、それぞれ、この脆弱性を修正した版のパッケージが提供されている場合もあります。 詳細については各ベンダにお問い合わせください。
- 開発版(1.9系)
- 2006-09-23以降のバージョンに更新してください。
参考情報
- [Mongrel] [SEC] Mongrel Temporary Fix For cgi.rb 99% CPU DoS Attack (<URL:http://rubyforge.org/pipermail/mongrel-users/2006-October/001946.html>)