mongodb bson 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2015-4411

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-02-21

漏洞描述

RubyGems（简称 gems）是一个用于对Ruby组件进行打包的Ruby打包系统。 RubyGems BSON存在拒绝服务漏洞。允许攻击者利用此漏洞发起拒绝服务攻击。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请用户及时下载更新：
https://rubygems.org/gems

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161964.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-July/161987.html
http://www.openwall.com/lists/oss-security/2015/06/06/3
http://www.securityfocus.com/bid/75045
https://bugzilla.redhat.com/show_bug.cgi?id=1229706
https://github.com/mongodb/bson-ruby/commit/976da329ff03ecdfca3030eb6efe3c85e6db9999
https://github.com/mongodb/bson-ruby/commit/fef6f75413511d653c76bf924a932374a...
https://github.com/mongodb/bson-ruby/compare/7446d7c6764dfda8dc4480ce16d5c023...
https://github.com/mongoid/moped/commit/dd5a7c14b5d2e466f7875d079af71ad197746...
https://homakov.blogspot.ru/2012/05/saferweb-injects-in-various-ruby.html
https://sakurity.com/blog/2015/06/04/mongo_ruby_regexp.html
https://seclists.org/oss-sec/2015/q2/653
https://security-tracker.debian.org/tracker/CVE-2015-4411
https://www.securityfocus.com/bid/75045

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mongodb	bson	*		Up to (excluding) 3.0.4
	运行在以下环境
	系统	fedora_21	rubygem-moped	*		Up to (excluding) 1.5.3-1.fc21
	运行在以下环境
	系统	fedora_21	rubygem-moped-doc	*		Up to (excluding) 1.5.3-1.fc21
	运行在以下环境
	系统	fedora_22	rubygem-moped	*		Up to (excluding) 1.5.3-1.fc22
	运行在以下环境
	系统	fedora_22	rubygem-moped-doc	*		Up to (excluding) 1.5.3-1.fc22
	运行在以下环境
	系统	fedora_EPEL_7	rubygem-moped	*		Up to (excluding) 1.5.3-1.el7
	运行在以下环境
	系统	fedora_EPEL_7	rubygem-moped-doc	*		Up to (excluding) 1.5.3-1.el7
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-400 未加控制的资源消耗（资源穷尽）