由 usa 發表於 2018-03-28
翻譯: Juanito Fatas
Ruby 內建的 WEBrick 在處理巨大請求時存在記憶體溢出風險。 此風險的 CVE 識別號為 CVE-2018-8777。
細節
攻擊者發送帶有龐大 header 的巨大請求時,WEBrick 會試圖在記憶體裡處理,故存在記憶體溢出風險。
所有使用受影響版本的使用者應立即升級。
受影響版本
- Ruby 2.2 系列: 2.2.9 以及之前的版本
- Ruby 2.3 系列: 2.3.6 以及之前的版本
- Ruby 2.4 系列: 2.4.3 以及之前的版本
- Ruby 2.5 系列: 2.5.0 以及之前的版本
- Ruby 2.6 系列: 2.6.0-preview1
- trunk revision r62965 之前的版本
致謝
感謝 Eric Wong e@80x24.org 回報此問題。
歷史
- 初次發佈於 2018-03-28 14:00:00 (UTC)