Ruby rb_ary_fill()函数远程拒绝服务漏洞

2008-07-03T00:00:00
ID SSV:3526
Type seebug
Reporter Root
Modified 2008-07-03T00:00:00

Description

BUGTRAQ ID: 30036

Ruby是一种功能强大的面向对象的脚本语言。

Ruby的rb_ary_fill()函数中存在整数溢出漏洞:

rb_ary_modify(ary); end = beg + len; if (end < 0) { rb_raise(rb_eArgError, "argument too big"); } if (end > RARRAY(ary)->len) { if (end >= RARRAY(ary)->aux.capa) { REALLOC_N(RARRAY(ary)->ptr, VALUE, end); RARRAY(ary)->aux.capa = end; }

len值由之前的函数递增1,且由用户指定。由于缺少输入检查,可能在以下位置触发整数溢出:

REALLOC_N(RARRAY(ary)->ptr, VALUE, end);

这个宏会分配end * VALUE。在32位架构上VALUE为4,因此如果攻击者指定的值为0x3fffffff的话,宏就会分配0内存区域,在下一次访问ary->ptr的时候就出出现空指针引用。

Yukihiro Matsumoto Ruby 1.9.x Yukihiro Matsumoto Ruby 1.8.x Yukihiro Matsumoto


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://svn.ruby-lang.org/cgi-bin/viewvc.cgi/trunk/array.c?view=markup target=_blank>http://svn.ruby-lang.org/cgi-bin/viewvc.cgi/trunk/array.c?view=markup</a>

                                        
                                            
                                                a&nbsp;=&nbsp;[]
a.fill(&quot;A&quot;,0..0x3fffffff)