由 SJH 發表於 2006-11-05
日前在 CGI Library (cgi.rb) 中發現了弱點,得以讓惡意的使用者建立中斷服務攻擊 (DoS)。此問題來自 HTTP request 使用 multipart MIME 編碼時,使用了錯誤的分隔符號 “-” 而非 “–“。以致於將會用盡所有的記憶體而造成了 DoS 問題。
Ruby 1.8.5 與之前的所有版本都具有此弱點. 此弱點發佈於 CVE-2006-5467.
有問題的版本
- 1.8 系列
- 1.8.5 與之前的所有版本
- 開發版本 (1.9 系列)
- 2006-09-23 之前的版本
解決方法
- 1.8 系列
- 在更新到 Ruby 1.8.5 之後,再加上以下的更新:
- CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
請注意也許您的套件管理軟體已提供了上述檔案欲修正的弱點更新。
- 開發版本 (1.9 系列)
- 請更新您的 Ruby 至 2006.09.23 以後的版本.