Ruby随机数生成本地拒绝服务漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Yukihiro Matsumoto Ruby 1.8.7 -p72
 Yukihiro Matsumoto Ruby 1.8.7 -p71
 Yukihiro Matsumoto Ruby 1.8.7 -p22
 Yukihiro Matsumoto Ruby 1.8.7 -p21
 Yukihiro Matsumoto Ruby 1.8.7
 Yukihiro Matsumoto Ruby 1.8.7-p334
 Yukihiro Matsumoto Ruby 1.8.7-p330
 Yukihiro Matsumoto Ruby 1.8.7-p302
 Yukihiro Matsumoto Ruby 1.8.7-p299
 Yukihiro Matsumoto Ruby 1.8.7-p249
 Yukihiro Matsumoto Ruby 1.8.7-p248
 Yukihiro Matsumoto Ruby 1.8.7-p173
 Yukihiro Matsumoto Ruby 1.8.7-p160
 Pardus Linux 2011
 Pardus Linux 2009
 
不受影响系统
Yukihiro Matsumoto Ruby 1.8.7-P352
 
危害
本地攻击者可以利用漏洞较容易的猜测随机数。
 
攻击所需条件
攻击者必须访问ruby应用。
 
漏洞信息
Yukihiro Matsumoto Ruby是一款功能强大的面向对象的脚本语言。
当派生新的Ruby进程时,Yukihiro Matsumoto Ruby没有正确重初始化随机数生成器,本地攻击者可以利用此缺陷比较容易的猜测随机数。
 
测试方法
 
厂商解决方案
Yukihiro Matsumoto Ruby 1.8.7-P352已经修复此漏洞,建议用户下载使用:
http://www.ruby-lang.org/
 
漏洞提供者
Meltem Parmaksiz

发表评论?

0 条评论。

发表评论