Ruby‘string.c’内存损坏漏洞

漏洞信息详情

Ruby‘string.c’内存损坏漏洞

• CNNVD编号：CNNVD-201406-612
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3916
  
• 漏洞类型：
  
  
  代码问题
  
• 发布时间：
  
  2014-05-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-08-09
  
• 厂        商：
  
  rubyonrails
• 漏洞来源：
  Hiroshi Shirosaki

Ruby是日本软件开发者松本行弘所研发的一种跨平台、面向对象的动态类型编程语言。

Ruby的string.c文件中的‘str_buf_cat’函数中存在安全漏洞。攻击者可借助超长字符串利用该漏洞造成拒绝服务（分段错误和崩溃）。以下版本受到影响：Ruby 1.9.3版本，2.0.0版本和2.1版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.ruby-lang.org/zh_cn/downloads/

来源:MISC

链接:https://bugs.ruby-lang.org/issues/9709

来源:BID

链接:https://www.securityfocus.com/bid/67705

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/93505

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q2/362

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q2/375