ГлавнаяБаза уязвимостей БДУ → BDU:2017-02182
7.5высокая

BDU:2017-02182

Уязвимость интерпретатора Ruby, вызванная выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2017-09-28
Описание

Уязвимость интерпретатора Ruby вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в ходе выполнения вызова JSON.generate. Проблема заключается в использовании функции strdup (ext/json/ext/generator/generator.c), выполнение которой прекращается при всрече 0-ого байта, указатель возвращается на строку нулевой длины, котороя не является длиной, хранящейся в space_len

Затрагиваемое ПО и версии
Ruby (до 2.2.7 включительно)Ruby (2.3.x-2.3.4)Ruby (2.4.x 2.4.1)
Способ устранения

Использование рекомендаций:
https://bugs.ruby-lang.org/issues/13853
https://github.com/flori/json/commit/8f782fd8e181d9cfe9387ded43a5ca9692266b85

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
http://www.securitytracker.com/id/1039363https://bugs.ruby-lang.org/issues/13853https://github.com/flori/json/commit/8f782fd8e181d9cfe9387ded43a5ca9692266b85https://hackerone.com/reports/209949
Проверьте безопасность своего сайта и почты → Полная проверка домена