6 Tage später kriege ich es endlich mit: http://www.ruby-lang.org/en/news/2006/1 ... 2006-5467/

vermutlich kommt bald Ruby 1.8.6. der fix ist allerdings sehr simpel per hand zu integrieren.

ich bin mir nicht ganz sicher, aber es könnte ähnlich kritisch sein wie der berüchtigte Rails-security-bug im august.

es geht peinlicherweise einfach darum, dass der "parser" für multipart-mime-anhänge nicht mit falsch formatierten eingaben klarkommt - er hängt sich in einer endlosschleife auf, was bedeutet, dass der prozess früher oder später euer system lahmlegt. das problem besteht seit jahren, ist aber offenbar niemandem bisher aufgefallen.

_________________
Ruby-Mine | (almost) murphy.de | rubychan.de

http://www.ruby-lang.org/de/feeds/news.rss

blupp

_________________
Please could you stop the noise I'm trying to get some rest?
From all the unborn chicken voices in my head....

Ok, man sollte doch besser die englische Version(RSS) nehmen. Die deutsche ist nicht so schnell.

Der Patch reicht nicht! Ihr müsst auf 1.8.5-p2 updaten

Bei Debian scheint man sich darum ein Dreck zukümmern. Ich habe nen Bug-Report erstellt und an Sicherheitsabteilung geschickt. Der/die Maintainer scheinen seit mehr als einem Jahr nichts mehr an Ruby zu machen.

Bei Ubuntu passiert auch nichts. Da habe ich auch mal noch nichts gemeldet. Wie schauts es bei euren Distributionen aus?

_________________
Please could you stop the noise I'm trying to get some rest?
From all the unborn chicken voices in my head....

du könntest sie ja aktuell halten ich meine, das sind ja auch nur wir hier im forum, die dort was schreiben.

völlig inakzeptabel, diese neue lücke. um es mal enterprisy zu formulieren: "We are loosing customers here!"

*hört die Java-gemeinde im hintergrund lachen*

und ganz toll: die "open to the public"-erklärung ist auf Japanisch.

_________________
Ruby-Mine | (almost) murphy.de | rubychan.de

Mit dem System kenne ich micht nicht aus. Aber zur Hilfe:

Eine weitere DoS Sicherheitslücke in der CGI Bibliothek

Eine weitere Sicherheitslücke wurde in der CGI Bibliothek entdeckt, welche direkt mit Ruby ausgeliefert wird. Diese kann von böswilligen Benutzern dazu verwendet werden, einen Denial of Services Angriff (DoS) durchzuführen.

Die Schwachstelle wurde als JVN#84798830 veröffentlicht.

Bitte beachten Sie, dass die Korrektur (Patch) (<URL:http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch>) dieses Problem nicht behebt.

Auswirkungen

Eine bestimmte HTTP-Anfrage belastet die CPU übermäßig, wenn die Web-Anwendung die cgi.rb benutzt. Viele solcher Anfragen führen zur einer Überlastung(DoS).

Betroffene Versionen
1.8 Reihe
1.8.5 und alle vorherigen
Entwicklerversion (1.9 Reihe)
Alle Versionen vor dem 04.12.2006
Lösung

1.8 Reihe

Bitte updaten Sie auf 1.8.5-p2.

<URL:http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz> (4519151 bytes, md5sum: a3517a224716f79b14196adda3e88057)

Bitte bedenken Sie, dass eventuell Ihr Paketmanager bereits einen dementsprechenden Patch eingespielt hat.

Entwicklerversion (1.9 Reihe)

Bitte benutze eine Version ab dem 4 Dezember 2006.

_________________
Please could you stop the noise I'm trying to get some rest?
From all the unborn chicken voices in my head....

ich habe schnell einen Blogeintrag geschrieben, der vielleicht etwas hilft.

_________________
Ruby-Mine | (almost) murphy.de | rubychan.de

Cool & Thx. Die Lösung mir RUBY_PATCHLEVEL gefällt mir nicht. Wenn die Maintainer sauber vorgehen wollen, müssen Sie Ruby für alle CPUs neuübersetzen. Was aber nicht nötig ist. Ich kann ja RUBY_PATCHLEVEL in die neue cgi.rb klatschen. Das ist sicherlich nicht Sinn der Übung. Aber ich könnte es nach vollziehen.

_________________
Please could you stop the noise I'm trying to get some rest?
From all the unborn chicken voices in my head....

darum ging's nicht. es geht darum, was ihr machen könnt, falls ihr irgendwo skripte auf einem system laufen habt, wo ihr vielleicht nicht an die Ruby-binary rankommt, und sicher gehen wollt.

ich gebe allerdings zu, dass ich bisher keine eigenen maßnahmen ergriffen habe. meine Rails-apps scheinen sicher zu sein:(RoR ML)

was mongrel betrifft, so scheint Zed ebenfalls schnell zu reagieren.

irgendwelche berichte von eventuell verursachten schäden?

_________________
Ruby-Mine | (almost) murphy.de | rubychan.de

laut full disclosure und meinem system, gibts für gentoo seit spätestens 9ten November (denn seit dem hab ich es ),
eine dev-lang/ruby-1.8.5-r3, die somit nicht betroffen sein sollte,
( wobei dich dies mal aus der mail schließe... )
Auf jeden Fall war ich beruhigt, das fastcgi nicht betroffen ist...

_________________
Of all the things he may have lost,
i think he misses his mind the most.
{ decoded .. Live Regex Debugger }

Aber muss es dazu in wirklich in den Binarys drin stehen? Einfach in cgi.rb "RUBY_PATCHLEVEL = 2" schreiben, hättes es auch getan, oder?

Es gibt ja Leute die haben nicht nur eine Ruby-Version installiert und wollen die alte auch patchen.
Meinst du wie lange es dauert, bis die beim Debian Projekt auf die Reihe bekommen auf die neuste Version umstellen. Aber eine Datei auszu tauschen, schaft wohl jeder noch. Außerdem müsste man bei woody auf einer neuere Version umstellen usw. Oder wird das nicht gepflegt?



r3 ist ein Suffix von Gentoo und ist nicht mit der von dem Ruby-Team zu verweseln. Außerdem war da noch nicht die Lücke bekannt.

mfg Benjamin

_________________
Please could you stop the noise I'm trying to get some rest?
From all the unborn chicken voices in my head....

und dann RUBY_PATCHLEVEL = 3 (samt warnung wegen erneuter zuweisung), falls in nem momant ein anderer bug woanders auftaucht?

nein, wenn es um sicherheit geht, muss es ins binary. außerdem ist das mit dem Patchlevel gar keine schlechte idee, wenn die teeny-version (x.x.5) nicht wirklich dafür da ist. es gibt aber noch andere probleme mit dem Ruby-versions-system; gut möglich, dass sich da in Ruby 2 nochmal was ändert.

achso, falls das nicht offensichtlich ist: der schnelle fix für jedermann ist natürlich, die neue cgi.rb einzeln zu holen und dann direkt zu laden (mir require './cgi.rb' oder sowas.) aber das ist unschön.

ich frage mich eher, was die Rails-leute machen, die probleme mit dem breakpointer unter Ruby 1.8.5 haben...wenn Ruby 1.8.4 gefährdet und veraltet ist, kann es unmöglich die empfohlene version für RoR bleiben...moment...OK sie ist es schon nicht mehr.

also los, updaten hoffentlich schickt Curt Hibbs bald auch den neuen OneClickInstaller (...which you have to double-click afterwards™) hinterher.

_________________
Ruby-Mine | (almost) murphy.de | rubychan.de

Habe die News in den deutschen Bereich übertragen.

Danke an bunny und murphy.

_________________
mruby.sh | Ruby-Mine | Homepage

ich wollte auch die ( ruby ) p-x nicht mit den releases von gentoo mischen.

Hups war auch das falsche datum denn am 2ten November waren ja die
Ubuntu DOS Vulnerabilities bekanntgegeben.
Bei gentoo meinte ich natürlich den 21.11...wo, wie gesagt der r3 der erste (gentoo)-release war,bei dem es dieses Problem so nicht geben soll:
( dies ist auch nur laut meiner Mail von full-disclosure und zugehörigen quellen so)

_________________
Of all the things he may have lost,
i think he misses his mind the most.
{ decoded .. Live Regex Debugger }

Hrm - aber warum gibt es dann für Gentoo jetzt einen 1.8.5 p2 ebuild?

http://packages.gentoo.org/ebuilds/?ruby-1.8.5_p2

Ist halt noch nicht als stable für x86 markiert.

naja weil, auch in der mailingliste geschrieben wurde, das die r-3
"unaffected" ist. Nicht, dass sie diesen Patch beinhaltet...
btw würde ich auch zb Sprachentwicklern eher trauen als den offenlegungen
einzelner Personen, bei denen dieser Test aus diversen Gründen negativ ausgegangen sein könnte...
Von daher, wollte ich nicht widersprechen, sondern nur anworten, wie
es um gentoo steht, und dies nur meines Wissens nach ( und ich habe es nicht
nicht getestet, sprich exploited, sondern full-disclosure zitiert ).

_________________
Of all the things he may have lost,
i think he misses his mind the most.
{ decoded .. Live Regex Debugger }