Ruby 多个整数溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186480 漏洞类型 数字错误
发布时间 2008-06-24 更新时间 2008-12-20
CVE编号 CVE-2008-2726 CNNVD-ID CNNVD-200806-325
漏洞平台 N/A CVSS评分 7.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200806-325
|漏洞详情
Ruby是一种功能强大的面向对象的脚本语言。Ruby1.8.4以及之前版本,1.8.5-p231之前的1.8.5,1.8.6-p230之前的1.8.6,1.8.7-p22之前的1.8.7版本,1.9.0-2之前1.9.0版本,其rb_ary_splice函数;以及Ruby1.6.X版本,其therb_ary_replace函数存在整数溢出漏洞,允许攻击者通过上下文关联造成内存破坏,也叫"beg+rlen"问题。注意:作为20080624,出现了多个与Ruby相关的CVE标识符不一致的情况。CVE描述应被视为权威,虽然它可能会发生变化。
|参考资料

来源:www.ruby-lang.org
链接:http://www.ruby-lang.org/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities/
来源:FEDORA
名称:FEDORA-2008-5649
链接:https://www.redhat.com/archives/fedora-package-announce/2008-June/msg00937.html
来源:/issues.rpath.com/browse/RPL-2626
链接:https://issues.rpath.com/browse/RPL-2626
来源:bugs.launchpad.net
链接:https://bugs.launchpad.net/ubuntu/+source/ruby1.8/+bug/241657
来源:XF
名称:ruby-rbarysplice-begrlen-code-execution(43351)
链接:http://xforce.iss.net/xforce/xfdb/43351
来源:MISC
链接:http://www.zedshaw.com/rants/the_big_ruby_vulnerabilities.html
来源:UBUNTU
名称:USN-621-1
链接:http://www.ubuntu.com/usn/usn-621-1
来源:SECTRACK
名称:1020347
链接:http://www.securitytracker.com/id?1020347
来源:BID
名称:29903
链接:http://www.securityfocus.com/bid/29903
来源:BUGTRAQ
名称:20080626rPSA-2008-0206-1ruby
链接:http://www.securityfocus.com/archive/1/archive/1/493688/100/0/threaded
来源:MISC
链接:http://www.rubyinside.com/june-2008-ruby-security-vulnerabilities-927.html
来源:MISC
链接:http://www.ruby-forum.com/topic/1