Ruby开发团队近日在官方博客中称,Ruby 1.9分支中使用的Hash函数中存在安全漏洞,可能导致Hash-flooding DoS攻击。开发团队紧急发布了Ruby-1.9.3 p-327版本,1.9用户应尽快升级至该版本。
详细信息
该漏洞类似于Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改进的MurmurHash函数,该函数被报告可以用来创建字符串序列,这些序列可以与它们的hash值相互碰撞。这个漏洞影响需要解析从不受信任实体发送的JSON数据的web应用程序。
在修复版本中,字符串对象的hash函数从MurmurHash更改为SipHash 2-4。
受影响版本
Ruby 1.9.3 p-327之前的所有1.9分支版本
Ruby 2.0 trunk 37575之前的所有2.0版本,包括Ruby 2.0.0 preview1
解决方法
1.9用户升级至ruby-1.9.3 patchlevel 327
2.0 preview1或trunk版本用户升级至trunk 37575或更高版本
对于所有需要从不受信任实体接受输入数据的Ruby应用,应将输入数据的大小限制到合适的范围
详细信息: http://www.ruby-lang.org/en/news ... hdos-cve-2012-5371/
下载Ruby 1.9.3-p327:
http://www.ruby-lang.org/en/news/2012/11/09/ruby-1-9-3-p327-is-released/
详细信息
该漏洞类似于Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改进的MurmurHash函数,该函数被报告可以用来创建字符串序列,这些序列可以与它们的hash值相互碰撞。这个漏洞影响需要解析从不受信任实体发送的JSON数据的web应用程序。
在修复版本中,字符串对象的hash函数从MurmurHash更改为SipHash 2-4。
受影响版本
Ruby 1.9.3 p-327之前的所有1.9分支版本
Ruby 2.0 trunk 37575之前的所有2.0版本,包括Ruby 2.0.0 preview1
解决方法
1.9用户升级至ruby-1.9.3 patchlevel 327
2.0 preview1或trunk版本用户升级至trunk 37575或更高版本
对于所有需要从不受信任实体接受输入数据的Ruby应用,应将输入数据的大小限制到合适的范围
详细信息: http://www.ruby-lang.org/en/news ... hdos-cve-2012-5371/
下载Ruby 1.9.3-p327:
http://www.ruby-lang.org/en/news/2012/11/09/ruby-1-9-3-p327-is-released/
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/301743/viewspace-749057/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/301743/viewspace-749057/