Los desarrolladores de Ruby publicaron una actualización de la serie 1.9.3, en su lenguaje de programación de código abierto que corrige una vulnerabilidad de denegación de servicio.

La versión 1.9.3 de Ruby, nivel de corrección 327, con clasificación 1.9.3-P327, corrige un problema de inundaciones de hash que podrían ser aprovechadas por un atacante para causar una carga alta del CPU, lo que puede resultar en una denegación de servicio. El problema puede ser causado por un error al analizar secuencias de cadenas diseñadas de manera específica.

Los desarrolladores señalan que la vulnerabilidad es similar a otro problema DoS de algoritmos hash que afectaron a varios programas, incluyendo la versión 1.8.7 de Ruby. Previamente, se pensaba que la gama de versiones 1.9.X no había sido afectada, ya que utiliza una función MurmurHash modificada. Sin embargo, el desarrollador Jean-Philippe Aumasson, uno de los diseñadores de SipHash, descubrió que todavía hay una manera de crear una secuencia de cadenas que podría colisionar cada valle del hash. Ahora han cambiado la función hash de MurmurHash a SipHash 2-4.

Todas las versiones Ruby 1.9.X previas a la 1.9.3-P327, así como las versiones prelanzadas de Ruby 2.0 y las versiones previas al tronco 37575, incluyendo una vista previa de 2.0.0 dada a conocer principios de este mes se vieron afectadas. A los usuarios que ejecutan estas versiones, se les aconseja actualizar el último nivel de corrección 1.9.3 o al tronco de versiones 37575 tan pronto como sea posible. La actualización también corrige errores que no están relacionados con la seguridad.

Se puede encontrar la lista completa de correcciones de la actualización en el registro de cambios. Ruby 1.9.3-P327 está disponible para descargar desde el sitio del proyecto y se distribuye bajo los términos de la licencia de Ruby, una licencia BSD cláusula 2 o la GPLv2.