Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Описание
Библиотека BigDecimal в Ruby позволяет злоумышленникам вызвать отказ в обслуживании (аварийное завершение работы приложения), используя строковый аргумент, который представляет собой большое число, как показано на примере попытки конвертации в тип данных Float.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.ruby-lang.org/
http://www.ruby-lang.org/
Ссылки
CONFIRM (http://www.ruby-lang.org/en/news/2009/06/09/dos-vulnerability-in-bigdecimal/): http://www.ruby-lang.org/en/news/2009/06/09/dos-vulnerability-in-bigdecimal/
CONFIRM (http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby/): http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby/
CONFIRM (http://redmine.ruby-lang.org/issues/show/794): http://redmine.ruby-lang.org/issues/show/794
CONFIRM (http://github.com/NZKoz/bigdecimal-segfault-fix/tree/master): http://github.com/NZKoz/bigdecimal-segfault-fix/tree/master
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532689): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532689
CONFIRM (https://bugs.launchpad.net/bugs/cve/2009-1904): https://bugs.launchpad.net/bugs/cve/2009-1904
CONFIRM (https://bugs.launchpad.net/bugs/385436): https://bugs.launchpad.net/bugs/385436
XF (ruby-bigdecimal-dos(51032)): http://xforce.iss.net/xforce/xfdb/51032
VUPEN (ADV-2009-1563): http://www.vupen.com/english/advisories/2009/1563
UBUNTU (USN-805-1): http://www.ubuntu.com/usn/USN-805-1
SECTRACK (1022371): http://www.securitytracker.com/id?1022371
BID (35278): http://www.securityfocus.com/bid/35278
CONFIRM (http://www.ruby-forum.com/topic/189071): http://www.ruby-forum.com/topic/189071
REDHAT (RHSA-2009:1140): http://www.redhat.com/support/errata/RHSA-2009-1140.html
MANDRIVA (MDVSA-2009:160): http://www.mandriva.com/security/advisories?name=MDVSA-2009:160
SLACKWARE (SSA:2009-170-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.430805
GENTOO (GLSA-200906-02): http://security.gentoo.org/glsa/glsa-200906-02.xml
OSVDB (55031): http://osvdb.org/55031
MLIST ([pkgsrc-changes] 20090610 CVS commit: pkgsrc/lang/ruby18-base): http://mail-index.netbsd.org/pkgsrc-changes/2009/06/10/msg024708.html
MLIST ([rubyonrails-security] 20090610 DoS Vulnerability in Ruby (CVE-2009-1904)): http://groups.google.com/group/rubyonrails-security/msg/fad60751e2b9b4f6?dmode=source
CONFIRM (http://bugs.gentoo.org/show_bug.cgi?id=273213): http://bugs.gentoo.org/show_bug.cgi?id=273213
CONFIRM (http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby/): http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby/
CONFIRM (http://redmine.ruby-lang.org/issues/show/794): http://redmine.ruby-lang.org/issues/show/794
CONFIRM (http://github.com/NZKoz/bigdecimal-segfault-fix/tree/master): http://github.com/NZKoz/bigdecimal-segfault-fix/tree/master
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532689): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532689
CONFIRM (https://bugs.launchpad.net/bugs/cve/2009-1904): https://bugs.launchpad.net/bugs/cve/2009-1904
CONFIRM (https://bugs.launchpad.net/bugs/385436): https://bugs.launchpad.net/bugs/385436
XF (ruby-bigdecimal-dos(51032)): http://xforce.iss.net/xforce/xfdb/51032
VUPEN (ADV-2009-1563): http://www.vupen.com/english/advisories/2009/1563
UBUNTU (USN-805-1): http://www.ubuntu.com/usn/USN-805-1
SECTRACK (1022371): http://www.securitytracker.com/id?1022371
BID (35278): http://www.securityfocus.com/bid/35278
CONFIRM (http://www.ruby-forum.com/topic/189071): http://www.ruby-forum.com/topic/189071
REDHAT (RHSA-2009:1140): http://www.redhat.com/support/errata/RHSA-2009-1140.html
MANDRIVA (MDVSA-2009:160): http://www.mandriva.com/security/advisories?name=MDVSA-2009:160
SLACKWARE (SSA:2009-170-02): http://slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.430805
GENTOO (GLSA-200906-02): http://security.gentoo.org/glsa/glsa-200906-02.xml
OSVDB (55031): http://osvdb.org/55031
MLIST ([pkgsrc-changes] 20090610 CVS commit: pkgsrc/lang/ruby18-base): http://mail-index.netbsd.org/pkgsrc-changes/2009/06/10/msg024708.html
MLIST ([rubyonrails-security] 20090610 DoS Vulnerability in Ruby (CVE-2009-1904)): http://groups.google.com/group/rubyonrails-security/msg/fad60751e2b9b4f6?dmode=source
CONFIRM (http://bugs.gentoo.org/show_bug.cgi?id=273213): http://bugs.gentoo.org/show_bug.cgi?id=273213