Ruby 1.9 現 DoS 漏洞，緊急釋出1.9.3-p327版

Ruby開發團隊近日在官方部落格中稱，Ruby 1.9分支中使用的Hash函式中存在安全漏洞，可能導致Hash-flooding DoS攻擊。開發團隊緊急釋出了Ruby-1.9.3 p-327版本，1.9使用者應儘快升級至該版本。

詳細資訊

該漏洞類似於Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改進的MurmurHash函式，該函式被報告可以用來建立字串序列，這些序列可以與它們的hash值相互碰撞。這個漏洞影響需要解析從不受信任實體傳送的JSON資料的web應用程式。

在修復版本中，字串物件的hash函式從MurmurHash更改為SipHash 2-4。

受影響版本

Ruby 1.9.3 p-327之前的所有1.9分支版本
Ruby 2.0 trunk 37575之前的所有2.0版本，包括Ruby 2.0.0 preview1
解決方法

1.9使用者升級至ruby-1.9.3 patchlevel 327
2.0 preview1或trunk版本使用者升級至trunk 37575或更高版本
對於所有需要從不受信任實體接受輸入資料的Ruby應用，應將輸入資料的大小限制到合適的範圍

詳細資訊：http://www.ruby-lang.org/en/news ... hdos-cve-2012-5371/

下載Ruby 1.9.3-p327：
http://www.ruby-lang.org/en/news/2012/11/09/ruby-1-9-3-p327-is-released/

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/301743/viewspace-749057/，如需轉載，請註明出處，否則將追究法律責任。