Publicado por Diego Algorta Casamayou el 2006-12-04
Ha sido descubierta una vulnerabilidad en la biblioteca CGI (cgi.rb) que viene con Ruby. Esta puede ser usada por un usuario malicioso para crear un ataque de denegación de servicio (DoS). El problema se dispara enviando a la biblioteca una solicitud (request) HTTP que use codificación MIME multiparte y tiene un delimitador inválido que comienza con “-” en vez de “–”. Una vez ejecutado agotará todos los recursos de memoria disponibles creando así una condición de DoS.
Ruby 1.8.5 y todas las versiones anteriores son vulnerables. Esta vulnerabilidad está abierta al público como CVE-2006-5467.
Versiones vulnerables
- series 1.8
- 1.8.5 y todas las versiones anteriores
- Versión de desarrollo (series 1.9)
- Todas las versiones anteriores al 2006-09-23
Solución
- series 1.8
- Por favor aplica el parche después de actualizarte a Ruby 1.8.5:
- CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
Recuerda que puede ya estar disponible un paquete que corrige esta debilidad a través de tu software de administración de paquetes.
- Versión de desarrollo (series 1.9)
- Por favor actualiza tu Ruby a una versión posterior al 23 de setiembre del 2006.