W bibliotece CGI (cgi.rb) znajdującej się w dystrybucji Rubiego wykryto lukę w zabezpieczeniach pozwalającą na zainicjowanie ataku “odmowy dostępu” – ang. “denial of service”, w skrócie DoS. Problem powstaje podczas wysłania zapytania HTTP, które używa “multipart MIME encoding” oraz nieprawidłowego znaku do określenia granicy (“-” zamiast “--“). Po wywołaniu takiego zapytania, zużywa ono całą dostępną pamięć w efekcie doprowadzając do sytuacji DoS.

Na atak narażone są wszystkie wersje Rubiego do 1.8.5 włącznie. Luka ta została opublikowana jako CVE-2006-5467.

Wersje narażone na atak:

Gałąź 1.8
1.8.5 oraz wszystkie poprzednie wersje
Wersja deweloperska (seria 1.9)
Wszystkie wersje sprzed 2006-09-23

Rozwiązanie

Gałąź 1.8
Po zaktualizowaniu Rubiego do wersji 1.8.5 należy zastosować patch:
  • CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
Uwaga: Powyższa łata może już być dostępna w dystrybucji Rubiego dla Twojego systemu operacyjnego.
Wersja deweloperska (gałąź 1.9)
Należy zaktualizować Rubiego do wersji wydanej po 23 września 2006.

Odnośniki: