NVD Vulnerability Detail

CVE-2011-5036

Summary	Rack before 1.1.3, 1.2.x before 1.2.5, and 1.3.x before 1.3.6 computes hash values for form parameters without restricting the ability to trigger hash collisions predictably, which allows remote attackers to cause a denial of service (CPU consumption) by sending many crafted parameters.
Publication Date	Dec. 30, 2011, 10:55 a.m.
Registration Date	Jan. 28, 2021, 4:40 p.m.
Last Update	Nov. 21, 2024, 10:33 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
2	http://www.debian.org/security/2013/dsa-2783
3	http://www.kb.cert.org/vuls/id/903934	US Government Resource
4	http://www.nruns.com/_downloads/advisory28122011.pdf
5	http://www.ocert.org/advisories/ocert-2011-003.html
6	https://gist.github.com/52bbc6b9cc19ce330829	Exploit
7	http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html
8	https://gist.github.com/52bbc6b9cc19ce330829	Exploit
9	http://www.ocert.org/advisories/ocert-2011-003.html
10	http://www.nruns.com/_downloads/advisory28122011.pdf
11	http://www.kb.cert.org/vuls/id/903934	US Government Resource
12	http://www.debian.org/security/2013/dsa-2783

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-310	暗号の問題	https://cwe.mitre.org/data/definitions/310.html

JVN Vulnerability Information

Rack におけるサービス運用妨害 (CPU 資源の消費) の脆弱性

Title	Rack におけるサービス運用妨害 (CPU 資源の消費) の脆弱性
Summary	Rack は、ハッシュ衝突を想定した制限を行わずにフォームパラメータのハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
Possible impacts	第三者により、巧妙に細工されたパラメータを大量に送信されることで、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 30, 2011, midnight
Registration Date	Jan. 4, 2012, 4:48 p.m.
Last Update	Jan. 4, 2012, 4:48 p.m.

Affected System

Christian Neukirchen

Rack 1.1.3 未満

Rack 1.2.5 未満の 1.2.x

Rack 1.3.6 未満の 1.3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-5036	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5036
National Vulnerability Database (NVD)
2	CVE-2011-5036	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-5036

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Rack
1	Top Page	http://rack.rubyforge.org/

その他

No	Name	URL
IPA 緊急対策情報
1	20120106-web	http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html
JVN
2	JVNVU#903934	http://jvn.jp/cert/JVNVU903934
US-CERT Vulnerability Note
3	VU#903934	http://www.kb.cert.org/vuls/id/903934

Change Log

No	Changed Details	Date of change
0	[2012年01月04日] 掲載	Feb. 17, 2018, 10:37 a.m.