低危 Ruby 1.9/1.9.1/1.9.2/1.9.3/2.0 拒绝服务漏洞

CVE编号

CVE-2012-5371

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-11-29
漏洞描述
Ruby on Rails是一款Web应用程序框架,构建在Ruby语言之上。Ruby on Rails处理特制的字符串序列时,使用此字符串作为创建哈希对象的关键码时存在一个拒绝服务攻击,如WEB应用在解析不可信实体发送的JSON数据时受此漏洞影响。此漏洞不同于CVS-2011-4815漏洞。
解决建议
ruby-1.9.3 patchlevel 327 已经修复此漏洞,建议用户下载使用:https://www.smadav.net/
参考链接
http://2012.appsec-forum.ch/conferences/#c17
http://asfws12.files.wordpress.com/2012/11/asfws2012-jean_philippe_aumasson-m...
http://secunia.com/advisories/51253
http://securitytracker.com/id?1027747
http://www.ocert.org/advisories/ocert-2012-001.html
http://www.osvdb.org/87280
http://www.ruby-lang.org/en/news/2012/11/09/ruby19-hashdos-cve-2012-5371/
http://www.securityfocus.com/bid/56484
http://www.ubuntu.com/usn/USN-1733-1
https://bugzilla.redhat.com/show_bug.cgi?id=875236
https://exchange.xforce.ibmcloud.com/vulnerabilities/79993
https://www.131002.net/data/talks/appsec12_slides.pdf
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 ruby-lang ruby * Up to
(including)
1.9.3
运行在以下环境
应用 ruby-lang ruby 1.9 -
运行在以下环境
应用 ruby-lang ruby 1.9.1 -
运行在以下环境
应用 ruby-lang ruby 1.9.2 -
运行在以下环境
应用 ruby-lang ruby 1.9.3 -
运行在以下环境
应用 ruby-lang ruby 2.0 -
运行在以下环境
系统 ubuntu_12.04.5_lts ruby1.8 * Up to
(excluding)
1.8.7.352-2ubuntu1.1
阿里云评分
3.9
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    传输被破坏
  • 服务器危害
    DoS
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况