Se ha anunciado una vulnerabilidad
en la función Hash de Ruby 1.9, que podría permitir a usuarios remotos
provocar condiciones de denegación de servicio en aplicaciones donde se haga
uso de ella.
Un usuario remoto puede enviar datos
específicamente creados para provocar colisiones hash, lo que provocaría un consume
excesivo de CPU en el sistema afectado.
Esta vulnerabilidad (con CVE-2012-5371)
es similar, aunque diferente, a una anterior (con CVE-2011-4815) para ruby
1.8.7 ya corregida. Las versiones de Ruby 1.9 se corrigieron con una función hash
basada en la función MurmurHash,
pero se ha anunciado que existe una forma de crear secuencias de cadenas que
colisionen sus valores hash con otros.
Se
ha publicado la versión 1.9.3 patchlevel 327 que corrige este problema cambiando
la función Hash de MurmurHash a SipHash
2-4.
Más información:
Hash-flooding DoS vulnerability for ruby 1.9
(CVE-2012-5371)
Ruby 1.9.3-p327 is released
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario