Ruby 1.9 現 DoS 漏洞,緊急釋出1.9.3-p327版

jieforest發表於2012-11-12
Ruby開發團隊近日在官方部落格中稱,Ruby 1.9分支中使用的Hash函式中存在安全漏洞,可能導致Hash-flooding DoS攻擊。開發團隊緊急釋出了Ruby-1.9.3 p-327版本,1.9使用者應儘快升級至該版本。

詳細資訊

該漏洞類似於Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改進的MurmurHash函式,該函式被報告可以用來建立字串序列,這些序列可以與它們的hash值相互碰撞。這個漏洞影響需要解析從不受信任實體傳送的JSON資料的web應用程式。

在修復版本中,字串物件的hash函式從MurmurHash更改為SipHash 2-4。

受影響版本

Ruby 1.9.3 p-327之前的所有1.9分支版本
Ruby 2.0 trunk 37575之前的所有2.0版本,包括Ruby 2.0.0 preview1
解決方法

1.9使用者升級至ruby-1.9.3 patchlevel 327
2.0 preview1或trunk版本使用者升級至trunk 37575或更高版本
對於所有需要從不受信任實體接受輸入資料的Ruby應用,應將輸入資料的大小限制到合適的範圍

詳細資訊:http://www.ruby-lang.org/en/news ... hdos-cve-2012-5371/

下載Ruby 1.9.3-p327:
http://www.ruby-lang.org/en/news/2012/11/09/ruby-1-9-3-p327-is-released/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/301743/viewspace-749057/,如需轉載,請註明出處,否則將追究法律責任。

相關文章