DoS-Schwachstelle in BigDecimal

Gepostet von Urabe Shyouhei am 9. Jun 2009

Es wurde eine Denial-of-Service (DoS)-Schwachstelle in der BigDecimal-Standardbibliothek von Ruby gefunden. Die Konvertierung von BigDecimal-Objekten in Float-Zahlen hatte ein Problem, das es Angreifern ermöglichte, effektiv Segmentierungsfehler zu verursachen.

ActiveRecord stützt sich auf diese Methode, daher sind die meisten Rails-Anwendungen davon betroffen. Dies ist jedoch kein Rails-spezifisches Problem.

Auswirkungen

Ein Angreifer kann einen Denial of Service verursachen, indem er BigDecimal veranlasst, eine unglaublich große Zahl zu parsen, z. B.

BigDecimal("9E69999999").to_s("F")

Betroffene Versionen

1.8 Serie

• 1.8.6-p368 und alle früheren Versionen
• 1.8.7-p160 und alle früheren Versionen

1.9 Serie

• Alle 1.9.1-Versionen sind von diesem Problem nicht betroffen

Lösung

1.8 Serie

Bitte aktualisieren Sie auf 1.8.6-p369 oder ruby-1.8.7-p174.

• https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p369.tar.gz
• https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p174.tar.gz

Aktualisierungen

• Ruby 1.8.7-p173 hatte ein Problem. Wenn Sie es bereits heruntergeladen haben, holen Sie sich bitte ein neueres. Ruby 1.8.6-p369 hat diesen Fehler nicht.