В интерпретаторе языка Ruby обнаружено 4 уязвимости

11 августа 2008 года

В интерпретаторе языка Ruby обнаружено несколько новых уязвимостей:

  • Возможность обхода ограничений уровней изоляции (safe level) через манипуляции с функцией "untrace_var()";
  • Использование некорректного регулярного выражения в WEBrick::HTTPUtils.split_header_value() может привести к отказу в обслуживании, путем полного потребления процессом ресурсов CPU, после получения специальным образом оформленного HTTP запроса;
  • Ошибка в "DL" может быть использована для обхода ограничений безопасности и вызова потенциально опасных функций;
  • Отсутствие в resolv.rb случайного выбора номера порта при отправке ответа на DNS запрос, упрощало проведение атаки Каминского.

Наличие уязвимостей подтверждено в версиях Ruby 1.8.5, 1.8.6-p286, 1.8.7-p71 и более ранних. Проблемы исправлены в Ruby 1.8.6-p287 (Архивная копия от 27 сентября 2021 на Wayback Machine) и 1.8.7-p72 (Архивная копия от 27 сентября 2021 на Wayback Machine).

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В интерпретаторе языка Ruby обнаружено 4 уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.