Ruby 1.9 现 DoS 漏洞，紧急发布 1.9.3-p327

Ruby 1.9 现 DoS 漏洞，紧急发布 1.9.3-p327

Ruby开发团队近日在官方博客中称，Ruby 1.9分支中使用的Hash函数中存在安全漏洞，可能导致Hash-flooding DoS攻击。开发团队紧急发布了Ruby-1.9.3 p-327版本，1.9用户应尽快升级至该版本。

详细信息

该漏洞类似于Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改进的MurmurHash函数，该函数被报告可以用来创建字符串序列，这些序列可以与它们的hash值相互碰撞。这个漏洞影响需要解析从不受信任实体发送的JSON数据的web应用程序。

在修复版本中，字符串对象的hash函数从MurmurHash更改为SipHash 2-4。

受影响版本

• Ruby 1.9.3 p-327之前的所有1.9分支版本
• Ruby 2.0 trunk 37575之前的所有2.0版本，包括Ruby 2.0.0 preview1

解决方法

• 1.9用户升级至ruby-1.9.3 patchlevel 327
• 2.0 preview1或trunk版本用户升级至trunk 37575或更高版本
• 对于所有需要从不受信任实体接受输入数据的Ruby应用，应将输入数据的大小限制到合适的范围

详细信息：CVE-2012-5371

下载：Ruby 1.9.3-p327