Posted by usa on 28 Mar 2018
Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。
詳細
標準添付ライブラリ WEBrick において、攻撃者によって巨大な HTTP ヘッダを持つリクエストが送信された場合、これをメモリ上で処理しようとしているため、メモリを浪費してしまい DoS 攻撃が成立するようになっていました。
この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。
影響を受けるバージョン
- Ruby 2.2.9 以前の全ての Ruby 2.2 系列
- Ruby 2.3.6 以前の全ての Ruby 2.3 系列
- Ruby 2.4.3 以前の全ての Ruby 2.4 系列
- Ruby 2.5.0
- Ruby 2.6.0-preview1
- revision 62965 より前の開発版
クレジット
この脆弱性情報は、Eric Wong 氏 e@80x24.org によって報告されました。
更新履歴
- 2018-03-28 23:00:00 (JST) 初版