For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00033
Identificador(es)
ASA-2018-00033, CVE-2018-16470
Título
Vulnerabilidade de DoS em analisador multipartes
Produto(s)
Rack
Versão(ões) afetada(s)
Rack 2.0.4, 2.0.5
Versão(ões) corrigida(s)
Rack 2.0.6
Prova de conceito
Desconhecido
Descrição
Existe uma vulnerabilidade de DoS em potencial no analisador multipartes no Rack. Requisições criada cuidadosamente pode causar o analisador multipartes entre em um estado patológico, causando o analisador usar recursos da CPU desproporcional ao tamanho da requisição.
Código impactado pode parecer com:
``` Rack::Request.new(env).params ```
Mas qualquer código que usa o analisador multipartes pode estar vulnerável. Usuário do Rack que ajustaram manualmente o tamanho do buffer do analisador multipartes pode também estar vulnerável.
Referência(s)
[CVE-2018-16470] Possible DoS vulnerability in Rack
https://seclists.org/oss-sec/2018/q4/128
[CVE-2018-16470] Possible DoS vulnerability in Rack
https://groups.google.com/forum/#!msg/rubyonrails-security/U_x-YkfuVTg/xhvYAmp6AAAJ
CVE-2018-16470
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16470
CVE-2018-16470
https://nvd.nist.gov/vuln/detail/CVE-2018-16470
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 9 novembro 2018