NVD Vulnerability Detail

CVE-2011-4815

Summary	Ruby (aka CRuby) before 1.8.7-p357 computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
Publication Date	Dec. 30, 2011, 10:55 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:33 a.m.

CVSS2.0 : HIGH
Score	7.8
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:ruby-lang:ruby:1.8.7-p334:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p330:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p302:::::::*
cpe:2.3:a:ruby-lang:ruby:1.8.7-p299:::::::*
cpe:2.3:a:ruby-lang:ruby::::::::		1.8.7-p352

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
2	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606
3	http://jvn.jp/en/jp/JVN90615481/index.html
4	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
5	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
6	http://rhn.redhat.com/errata/RHSA-2012-0069.html
7	http://rhn.redhat.com/errata/RHSA-2012-0070.html
8	http://secunia.com/advisories/47405
9	http://secunia.com/advisories/47822
10	http://support.apple.com/kb/HT5281
11	http://www.kb.cert.org/vuls/id/903934	US Government Resource
12	http://www.nruns.com/_downloads/advisory28122011.pdf
13	http://www.ocert.org/advisories/ocert-2011-003.html
14	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
15	http://www.securitytracker.com/id?1026474
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
17	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/72020
19	http://www.securitytracker.com/id?1026474
20	http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/
21	http://www.ocert.org/advisories/ocert-2011-003.html
22	http://www.nruns.com/_downloads/advisory28122011.pdf
23	http://www.kb.cert.org/vuls/id/903934	US Government Resource
24	http://support.apple.com/kb/HT5281
25	http://secunia.com/advisories/47822
26	http://secunia.com/advisories/47405
27	http://rhn.redhat.com/errata/RHSA-2012-0070.html
28	http://rhn.redhat.com/errata/RHSA-2012-0069.html
29	http://lists.apple.com/archives/security-announce/2012/May/msg00001.html
30	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
31	http://jvn.jp/en/jp/JVN90615481/index.html
32	http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-talk/391606

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

** 削除 ** Ruby におけるサービス運用妨害 (CPU 資源の消費) の脆弱性

Title	削除 Ruby におけるサービス運用妨害 (CPU 資源の消費) の脆弱性
Summary	削除本案件は、早期警戒パートナーシップに基づく JVN の脆弱性レポート JVN#90615481 の公開に伴い、JVNDB-2012-000066 へ内容を移行しました。JVNDB-2012-000066 を参照してください。 http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2012-000066.html Ruby は、ハッシュ衝突を想定した制限を行わずにフォームパラメータのハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
Possible impacts	攻撃者により、ハッシュテーブルを保持するアプリケーションへの巧妙に細工された入力を介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 30, 2011, midnight
Registration Date	Jan. 4, 2012, 4:39 p.m.
Last Update	July 6, 2012, 1:48 p.m.

Affected System

Ruby-lang.org

Ruby 1.8.7-p357 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4815	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4815
National Vulnerability Database (NVD)
2	CVE-2011-4815	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4815
SECURITY BLOG
3	CVE-2011-4815 Denial of Service (DoS) vulnerability in Ruby	https://blogs.oracle.com/sunsecurity/entry/cve_2011_4815_denial_of

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT5281	http://support.apple.com/kb/HT5281
Ruby
2	Top Page	http://www.ruby-lang.org/ja/

その他

No	Name	URL
IPA 緊急対策情報
1	20120106-web	http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html
JVN
2	JVNVU#692779	http://jvn.jp/cert/JVNVU692779/
3	JVNVU#903934	http://jvn.jp/cert/JVNVU903934
JVN iPedia
4	JVNDB-2012-000066	http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000066.html
US-CERT Vulnerability Note
5	VU#903934	http://www.kb.cert.org/vuls/id/903934

Change Log

No	Changed Details	Date of change
0	[2012年01月04日] 掲載 [2012年04月20日] ベンダ情報：オラクル (CVE-2011-4815 Denial of Service (DoS) vulnerability in Ruby) を追加 [2012年05月14日] ベンダ情報：アップル (HT5281) を追加 [2012年07月06日] 概要に記載の理由により削除扱いに変更	Feb. 17, 2018, 10:37 a.m.