漏洞起因
异常条件处理失败错误
危险等级
中
影响系统
Ruby 1.9.x
不受影响系统
危害
远程攻击者可以利用漏洞使系统崩溃。
攻击所需条件
攻击者必须访问Ruby应用。
漏洞信息
Ruby是一种为简单快捷的面向对象编程(面向对象程序设计)而创的脚本语言。
在扩展XML实体时REXML库存在一个错误,允许攻击者通过特制的包含恶意属性的XML,诱使应用解析,可消耗系统大量内存,使系统崩溃或挂起。
测试方法
厂商解决方案
Ruby 1.9.3-p392已经修复此漏洞,建议用户下载使用:
http://www.ruby-lang.org/en/news/2013/02/22/rexml-dos-2013-02-22/
漏洞提供者
Ben Murphy
评论关闭。