SK | Heaton
04.11.2006, 08:04
В библиотеке CGI ruby обнаружена уязвимость, которая позволяет успешно проводить DoS-атаки против вашего web-сервера.
Если злоумышленник отправляет на ваш сервер http-запрос, использующий так называемую multipart MIME encoding, в котором разделитель частей начинается с "-" вместо "--", то это приводит к тому, что сжирается вся память, загрузка процессора тут же взлетает под потолок - получите полноценную Denial of Service attack.
Подвержены все версии, вплоть до текущей стабильной 1.8.5, а так же все девелоперские (1.9), выпущенные до 23 сентября 2006 года.
Находим файл cgi.rb. В случае любой unix-like OS с правильной иерархией файловой системы это будет /usr/local/lib/ruby/<версия.ruby>/cgi.rb. В случае же Windows в каталоге, куда установлен ruby, ищем lib\ruby<версия.ruby>\cgi.rb.
Открываем его в редакторе и меняем строку под номером 1021 с if c.nil? на if c.nil? || c.empty?
если не охота ручками тогда мона пачам (http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch)
nnm
Если злоумышленник отправляет на ваш сервер http-запрос, использующий так называемую multipart MIME encoding, в котором разделитель частей начинается с "-" вместо "--", то это приводит к тому, что сжирается вся память, загрузка процессора тут же взлетает под потолок - получите полноценную Denial of Service attack.
Подвержены все версии, вплоть до текущей стабильной 1.8.5, а так же все девелоперские (1.9), выпущенные до 23 сентября 2006 года.
Находим файл cgi.rb. В случае любой unix-like OS с правильной иерархией файловой системы это будет /usr/local/lib/ruby/<версия.ruby>/cgi.rb. В случае же Windows в каталоге, куда установлен ruby, ищем lib\ruby<версия.ruby>\cgi.rb.
Открываем его в редакторе и меняем строку под номером 1021 с if c.nil? на if c.nil? || c.empty?
если не охота ручками тогда мона пачам (http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch)
nnm