漏洞起因
边界条件错误
影响系统
Ruby 1.9.x
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序权限执行任意指令。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户访问。
漏洞信息
Ruby是一款功能强大的面向对象的脚本语言。
String#ljust, String#center和String#rjust中存在堆溢出漏洞,允许攻击者在部分条件下执行任意代码。
问题存在于string.c代码中的"rb_str_justify()"函数。目前没有详细漏洞细节提供。
测试方法
厂商解决方案
Ruby 1.9.1-p376已经修复此漏洞,建议用户下载使用:
ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.bz2
漏洞提供者
Emmanouel Kellinis, KPMG London
0 条评论。