Ruby-Lang ’rb_str_justify()’ 缓冲区错误漏洞

CNNVD-ID编号	CNNVD-200912-165	CVE编号	CVE-2009-4124
发布时间	2009-12-11	更新时间	2009-12-14
漏洞类型	缓冲区溢出	漏洞来源	Emmanouel Kellinis, KPMG London
危险等级	超危	威胁类型	远程
厂商	ruby-lang

漏洞介绍

iRuby string.c的rb_str_justify函数存在堆缓冲溢出。攻击者可以借助包含(1) String＃ljust, (2) String＃center, 或(3) String＃rjust的未明向量，导致执行任意代码。

厂商目前已经发布了升级补丁以修复此安全问题，补丁获取链接：

ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p376.tar.bz2

来源: www.ruby-lang.org

链接：http://www.ruby-lang.org/en/news/2009/12/07/heap-overflow-in-string/
来源: XF

名称: ruby-rbstrjustify-bo(54674)

链接：http://xforce.iss.net/xforce/xfdb/54674
来源: VUPEN

名称: ADV-2009-3471

链接：http://www.vupen.com/english/advisories/2009/3471
来源: BID

名称: 37278

链接：http://www.securityfocus.com/bid/37278
来源: OSVDB

名称: 60880

链接：http://www.osvdb.org/60880