2009年6月10日

[installer 1961] ruby-1.8.6-p369, 1.8.7-p173

ruby-1.8.6-p369, 1.8.7-p173 出ています。

http://www.ruby-lang.org/ja/news/2009/06/10/dos-vulnerability-in-bigdecimal/
より:

> BigDecimal の DoS 脆弱性
>
> Ruby標準ライブラリの一つであるBigDecimalに、DoS(Denial Of Service)状態

> を引き起こしてしまう脆弱性が存在することが発見されました。BigDecimal
> オブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者は
> segmentation faultsを引き起こすことができます。
>
> ActiveRecordライブラリはこのメソッドを使用しているため、多くのRailsア
> プリケーションはこの脆弱性の影響を受けます。しかしながら、これはRails
> のみの問題ではなく、Rubyアプリケーション全体に影響の起こりうる問題です。
>
> 影響
>
> 攻撃者は巨大なBigDecimalの数値を変換することにより、DoS状態を引き起こ
> すことができます。その一例を以下に示します。
>
> BigDecimal("9E69999999").to_s("F")
>
> 脆弱性の存在するバージョン
>
> 1.8系
> o 1.8.6-p368 とそれ以前の全てのバージョン
> o 1.8.7-p160 とそれ以前の全てのバージョン
>
> 1.9系
> o (1.9.1の全てのバージョンはこの問題の影響を受けません)
>
> 解決方法
>
> 1.8系
> 1.8.6-p369 または ruby-1.8.7-p173 にアップグレードしてください。
>
> o ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p369.tar.gz
> o ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p173.tar.gz

☆ ruby-1.8.6-p369
http://www.ruby-lang.org/
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p369.tar.gz

☆ ruby-1.8.7-p173
http://www.ruby-lang.org/
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p173.tar.gz

----
こがよういちろう

投稿者 xml-rpc : 2009年6月10日 11:14
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/85823
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。