Ruby 1.9 现 DoS 漏洞，紧急发布 1.9.3-p327

Ruby开发团队近日在官方博客中称，Ruby 1.9分支中使用的Hash函数中存在安全漏洞，可能导致Hash-flooding DoS攻击。开发团队紧急发布了Ruby-1.9.3 p-327版本，1.9用户应尽快升级至该版本。

详细信息

该漏洞类似于Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改进的MurmurHash函数，该函数被报告可以用来创建字符串序列，这些序列可以与它们的hash值相互碰撞。这个漏洞影响需要解析从不受信任实体发送的JSON数据的web应用程序。

在修复版本中，字符串对象的hash函数从MurmurHash更改为SipHash 2-4。

受影响版本

Ruby 1.9.3 p-327之前的所有1.9分支版本
Ruby 2.0 trunk 37575之前的所有2.0版本，包括Ruby 2.0.0 preview1

解决方法

1.9用户升级至ruby-1.9.3 patchlevel 327
2.0 preview1或trunk版本用户升级至trunk 37575或更高版本
对于所有需要从不受信任实体接受输入数据的Ruby应用，应将输入数据的大小限制到合适的范围

详细信息：CVE-2012-5371

下载：Ruby 1.9.3-p327恶意软件趋势：跨平台恶意软件崛起Intramaps多个安全漏洞相关资讯 Ruby Ruby漏洞 Ruby 1.9安全漏洞 DoS 漏洞

如何在Mac OS X上安装 Ruby运行环（02月13日）
Ruby 2.2.4/2.1.8 发布下载（12/19/2015 10:26:57）
使用Ruby搭建简易的HTTP服务和sass （09/25/2015 08:44:03）

Ruby 2.3.0 正式发布（12/26/2015 10:59:28）
Ruby 2.3.0-preview1 发布下载，新（11/13/2015 19:48:43）
Ruby "dl/handle.c"安全限制绕过漏（08/21/2015 13:45:20）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容