dodany: 12.11.2012 | tagi: ,

Autor:

Aktualizacja Ruby usuwa podatność na hash-flooding

0

Programiści Ruby wydali aktualizację do serii 1.9.3 ich języka oprogramowania, która naprawia lukę DoS. Poprawka oznaczona jako 1.9.3-P327 koryguje problem hash-floodingu, który może być wykorzystany przez atakującego. Skutkiem wykorzystania tej luki jest poważne obciążenie procesora, które może prowadzić do Denial-of-Service. Problem może być powodowany błędem podczas analizowania specjalnie spreparowanych sekwencji ciągów.

Twórcy podkreślają, że luka jest podobna do innego powszechnego problemu DoS w algorytmach hashowania i wypłynęła ona w kilku programach włączając w to wersję 1.8.7 Ruby. Programiści wówczas nie podejrzewali, że wersje 1.9.x zostaną dotknięte tym problemem, bo użyto w nich zmodyfikowanej funkcji MurmurHash. Jednak deweloper Jean-Philippe Aumasson, jeden z projektantów SipHash znalazł kolejny sposób na tworzenie sekwencji ciągów, które mogą zderzyć ze sobą ich ścieżki hashowania. W ten sposób doszło do zmiany MurmurHash na SipHash 2-4.

Wszystkie wersje Ruby 1.9.x przed 1.9.3.P327, jak również 2.0, są narażone. Użytkownicy korzystający z tych wersji powinni zastosować aktualizację najszybciej, jak to możliwe. Aktualizacja dodatkowo poprawia także kilka błędów niezwiązanych z bezpieczeństwem.

Pełna lista poprawek w aktualizacji znajduje się w dzienniku zmian. Ruby 1.9.3-P327 jest dostępna do pobrania ze strony projektu.

 

Redaktor działu aktualności WebSecurity.pl. Z zamiłowania i wykształcenia pedagog. Propagatorka łączenia wolnego i otwartego oprogramowania i edukacji. Miłośniczka kawy, czekolady i książek psychologicznych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *