发布日期:2013-01-14
更新日期:2013-03-05
受影响系统:
Ruby ruby-openid 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58258
CVE(CAN) ID: CVE-2013-1812
Ruby ruby-openid是消耗和服务OpenID身份的库。
Ruby ruby-openid在解析XML字符实体时存在错误,受到拒绝服务漏洞的影响。通过诱使受害者打开特制的XML文档,远程攻击者可利用此漏洞消耗大量的内存并造成应用崩溃。
<*来源:Reginaldo Silva
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Ruby
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://rubygems.org/gems/ruby-openid