Парсер REXML в Ruby 1.9.x до 1.9.3 patchlevel 551, 2.0.x до 2.0.0 patchlevel 598 и 2.1.x до 2.1.5 позволяет удаленным злоумышленникам вызыв…

Парсер REXML в Ruby 1.9.x до 1.9.3 patchlevel 551, 2.0.x до 2.0.0 patchlevel 598 и 2.1.x до 2.1.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП и памяти) специально созданным XML-документом, содержащим пустую строку в сущности, которая используется в большом количестве вложенных ссылок на сущности, также известную как атака XML Entity Expansion (XEE). ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2013-1821 и CVE-2014-8080.