Ruby

Heap-Überlauf beim Parsen von Gleitkommazahlen (CVE-2013-4164)

Gepostet von tenderlove am 22. Nov 2013

Es gibt einen Überlauf bei der Verarbeitung von Gleitkommazahlen in Ruby. Diese Schwachstelle wurde unter der CVE-Kennung CVE-2013-4164 zugewiesen.

Details

Jedes Mal, wenn ein String in einen Gleitkommawert konvertiert wird, kann ein speziell präparierter String einen Heap-Überlauf verursachen. Dies kann zu einem Denial-of-Service-Angriff durch Segmentierungsfehler und möglicherweise zu beliebiger Codeausführung führen. Jedes Programm, das Eingaben unbekannter Herkunft in Gleitkommawerte konvertiert (insbesondere üblich bei der Annahme von JSON), ist anfällig.

Anfälliger Code sieht in etwa so aus

untrusted_data.to_f

Aber jeder Code, der Gleitkommawerte aus externen Daten erzeugt, ist anfällig, wie zum Beispiel dieser

JSON.parse untrusted_data

Beachten Sie, dass dieser Fehler ähnlich wie CVE-2009-0689 ist.

Alle Benutzer, die eine betroffene Version verwenden, sollten auf die KORRIGIERTEN Versionen von Ruby aktualisieren.

Betroffene Versionen

  • Alle Ruby 1.8-Versionen nach Ruby 1.8.6 Patchlevel 230
  • Alle Ruby 1.9-Versionen vor Ruby 1.9.3 Patchlevel 484
  • Alle Ruby 2.0-Versionen vor Ruby 2.0.0 Patchlevel 353
  • Alle Ruby 2.1-Versionen vor Ruby 2.1.0 preview2
  • vor Trunk-Revision 43780

Lösungen

Allen Benutzern wird empfohlen, auf Ruby 1.9.3 Patchlevel 484, Ruby 2.0.0 Patchlevel 353 oder Ruby 2.1.0 preview2 zu aktualisieren.

Bitte beachten Sie, dass die Ruby 1.8-Serie oder frühere Versionen bereits veraltet sind. Es ist keine Veröffentlichung neuer KORRIGIERTER Versionen für diese geplant. Benutzer solcher Versionen werden aufgefordert, so schnell wie möglich zu aktualisieren, da wir die fortlaufende Verfügbarkeit von Sicherheitskorrekturen für nicht unterstützte Versionen nicht garantieren können.

Credits

Vielen Dank an Charlie Somerville für die Meldung dieses Problems!

Verlauf

  • Ursprünglich veröffentlicht am 2013-11-22 04:00:00 UTC
  • Sekundär veröffentlicht am 2013-11-22 06:46:00 UTC
  • Drittens veröffentlicht am 2013-11-22 22:46:00 UTC
  • Viertens veröffentlicht am 2013-12-10 12:09:38 UTC

Aktuelle Nachrichten

Ruby 4.0.0 veröffentlicht

Wir freuen uns, die Veröffentlichung von Ruby 4.0.0 bekannt zu geben. Ruby 4.0 führt „Ruby Box“ und „ZJIT“ ein und bringt viele Verbesserungen mit sich.

Veröffentlicht von naruse am 25. Dez 2025

Ein neuer Look für Rubys Dokumentation

Nach dem Redesign von ruby-lang.org gibt es weitere Neuigkeiten zur Feier des 30-jährigen Jubiläums von Ruby: docs.ruby-lang.org hat ein komplett neues Erscheinungsbild mit Aliki – dem neuen Standard-Theme von RDoc.

Veröffentlicht von Stan Lo am 23. Dez 2025

Neues Website-Erscheinungsbild

Wir freuen uns, ein umfassendes Redesign unserer Website bekannt zu geben. Das Design für dieses Update wurde von Taeko Akatsuka erstellt.

Veröffentlicht von Hiroshi SHIBATA am 22. Dez 2025

Ruby 4.0.0 preview3 veröffentlicht

Wir freuen uns, die Veröffentlichung von Ruby 4.0.0-preview3 bekannt zu geben. Ruby 4.0 führt Ruby::Box und „ZJIT“ ein und bringt viele Verbesserungen mit sich.

Veröffentlicht von naruse am 18. Dez 2025

Weitere Neuigkeiten...