BUGTRAQ ID: 30036
Ruby是一种功能强大的面向对象的脚本语言。
Ruby的rb_ary_fill()函数中存在整数溢出漏洞:
rb_ary_modify(ary);
end = beg + len;
if (end < 0) {
rb_raise(rb_eArgError, "argument too big");
}
if (end > RARRAY(ary)->len) {
if (end >= RARRAY(ary)->aux.capa) {
REALLOC_N(RARRAY(ary)->ptr, VALUE, end);
RARRAY(ary)->aux.capa = end;
}
len值由之前的函数递增1,且由用户指定。由于缺少输入检查,可能在以下位置触发整数溢出:
REALLOC_N(RARRAY(ary)->ptr, VALUE, end);
这个宏会分配end * VALUE。在32位架构上VALUE为4,因此如果攻击者指定的值为0x3fffffff的话,宏就会分配0内存区域,在下一次访问ary->ptr的时候就出出现空指针引用。
Yukihiro Matsumoto Ruby 1.9.x
Yukihiro Matsumoto Ruby 1.8.x
Yukihiro Matsumoto
------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://svn.ruby-lang.org/cgi-bin/viewvc.cgi/trunk/array.c?view=markup target=_blank>http://svn.ruby-lang.org/cgi-bin/viewvc.cgi/trunk/array.c?view=markup</a>
共 1 兑换
京公网安备 11010502034610号
暂无评论