Ruby REXML Parser 拒绝服务漏洞

漏洞信息详情

Ruby REXML Parser 拒绝服务漏洞

• CNNVD编号：CNNVD-201302-624
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-1821
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2013-02-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-03-08
  
• 厂        商：
  
  ruby-lang
• 漏洞来源：
  Ben Murphy

Ruby是日本软件开发者松本行弘所研发的一种跨平台、面向对象的动态类型编程语言。

Ruby 1.9.3-p392之前版本中存在拒绝服务漏洞。攻击者利用该漏洞消耗大量的内存并通过特制的XML文档导致崩溃。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rhn.redhat.com/errata/RHSA-2013-0611.html

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=914716

来源: UBUNTU

名称: USN-1780-1

链接:http://www.ubuntu.com/usn/USN-1780-1

来源: www.ruby-lang.org

链接:http://www.ruby-lang.org/en/news/2013/02/22/rexml-dos-2013-02-22/

来源: MLIST

名称: [oss-security] 20130306 CVE for Ruby Entity expansion DoS vulnerability in REXML (XML bomb)

链接:http://www.openwall.com/lists/oss-security/2013/03/06/5

来源: svn.ruby-lang.org

链接:http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=revision&revision=39384

来源: SECUNIA

名称: 52902

链接:http://secunia.com/advisories/52902

来源: SECUNIA

名称: 52783

链接:http://secunia.com/advisories/52783

来源: REDHAT

名称: RHSA-2013:0611

链接:http://rhn.redhat.com/errata/RHSA-2013-0611.html

来源: SUSE

名称: openSUSE-SU-2013:0614

链接:http://lists.opensuse.org/opensuse-updates/2013-04/msg00036.html

来源: SUSE

名称: openSUSE-SU-2013:0603

链接:http://lists.opensuse.org/opensuse-updates/2013-04/msg00034.html

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=702525

来源: SLACKWARE

名称: SSA:2013-075-01

链接:http://archives.neohapsis.com/archives/bugtraq/2013-03/0104.html

来源:SECUNIA

名称:52542

链接:http://secunia.com/advisories/52542

来源:SECUNIA

名称:52556

链接:http://secunia.com/advisories/52556

来源: BID

名称: 58141

链接:http://www.securityfocus.com/bid/58141