发布日期：2019-07-10
更新日期：2019-07-10

受影响系统：

Ruby on Rails Action View 6.0
Ruby on Rails Action View 5.2
Ruby on Rails Action View 5.1
Ruby on Rails Action View 5.0.0.1
Ruby on Rails Action View 5.0
Ruby on Rails Action View 4.2.7.1
Ruby on Rails Action View 4.2.5.1
Ruby on Rails Action View 4.2

不受影响系统：

Ruby on Rails Action View 6.0.0.Beta3
Ruby on Rails Action View 5.2.2.1
Ruby on Rails Action View 5.1.6.2
Ruby on Rails Action View 5.0.7.2
Ruby on Rails Action View 4.2.11.1

描述：

---

BUGTRAQ  ID: 107408
CVE(CAN) ID: CVE-2019-5419

Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架，Action View是其中的一个处理视图模板查找和呈现的框架。
Action View 5.2.2.1之前版本、5.1.6.2之前版本、5.0.7.2之前版本以及4.2.11.1之前版本中存在远程拒绝服务漏洞，该漏洞源于其特制的Accept报文头会导致Action View消耗100% CPU，并使服务器无法响应。远程攻击者可利用该漏洞导致拒绝服务。

<*来源：John Hawthorn
  
  链接：https://seclists.org/oss-sec/2019/q1/177
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2019-5419）以及相应补丁:
CVE-2019-5419：Denial of Service Vulnerability in Action View
链接：https://seclists.org/oss-sec/2019/q1/177

补丁下载：

浏览次数：1123
严重程度：0（网友投票）