В интерпретаторе языка Ruby обнаружено 4 уязвимости

11 августа 2008 года

Wikinews-logo-ru.svg

В интерпретаторе языка Ruby обнаружено несколько новых уязвимостей:

  • Возможность обхода ограничений уровней изоляции (safe level) через манипуляции с функцией "untrace_var()";
  • Использование некорректного регулярного выражения в WEBrick::HTTPUtils.split_header_value() может привести к отказу в обслуживании, путем полного потребления процессом ресурсов CPU, после получения специальным образом оформленного HTTP запроса;
  • Ошибка в "DL" может быть использована для обхода ограничений безопасности и вызова потенциально опасных функций;
  • Отсутствие в resolv.rb случайного выбора номера порта при отправке ответа на DNS запрос, упрощало проведение атаки Каминского.

Наличие уязвимостей подтверждено в версиях Ruby 1.8.5, 1.8.6-p286, 1.8.7-p71 и более ранних. Проблемы исправлены в Ruby 1.8.6-p287 и 1.8.7-p72.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В интерпретаторе языка Ruby обнаружено 4 уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В интерпретаторе языка Ruby обнаружено 4 уязвимости