Ruby on Rails 多个安全漏洞

admin
admin
admin
0
文章
0
评论
2022-07-24 08:11:15 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Ruby on Rails 多个安全漏洞

  • CNNVD编号:CNNVD-201301-089
  • 危害等级: 高危
  • CVE编号: CVE-2013-0156
  • 漏洞类型: 输入验证错误
  • 发布时间: 2013-01-09
  • 威胁类型: 远程
  • 更新时间: 2019-08-09
  • 厂        商: rubyonrails
  • 漏洞来源: Felix Wilhelm, Br...

漏洞简介

Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。

Ruby on Rails 2.3.15之前版本,3.0.19之前的3.0.x版本,3.1.10之前的3.1.x版本以及3.2.11之前的3.2.x版本中的active_support/core_ext/hash/conversions.rb中存在漏洞,该漏洞源于程序没有正确限制一系列字符串的值。通过利用Action Pack支持(1)YAML类型转换或(2)Symbol类型转换,远程攻击者利用该漏洞进行对象注入攻击以及执行任意代码或导致拒绝服务(内存和CPU消耗)包含嵌套的XML实体引用。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://www.rubyonrails.com/

参考网址

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/

来源:CONFIRM

链接:http://www.fujitsu.com/global/support/software/security/products-f/sw-sv-rcve-ror201301e.HTML

来源:MISC

链接:https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156

来源:REDHAT

链接:http://rhn.redhat.com/errata/RHSA-2013-0155.HTML

来源:MISC

链接:http://ics-cert.us-cert.gov/advisories/ICSA-13-036-01A

来源:MISC

链接:http://www.insinuator.net/2013/01/rails-yaml/

来源:CERT-VN

链接:http://www.kb.cert.org/vuls/id/380039

来源:CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple

链接:http://lists.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/archives/security-announce/2013/Mar/msg00002.HTML

来源:MLIST

链接:https://groups.Google.com/group/rubyonrails-security/msg/c1432d0f8c70e89d?dmode=source&output=gplain

来源:CONFIRM

链接:https://puppet.com/security/cve/cve-2013-0156

来源:REDHAT

链接:http://rhn.redhat.com/errata/RHSA-2013-0154.HTML

来源:REDHAT

链接:http://rhn.redhat.com/errata/RHSA-2013-0153.HTML

来源:DEBIAN

链接:http://www.debian.org/security/2013/dsa-2604

来源:CERT-VN

链接:http://www.kb.cert.org/vuls/id/628463

受影响实体

  • Rubyonrails Ruby_on_rails:3.2.10  
  • Rubyonrails Ruby_on_rails:3.2.9  
  • Rubyonrails Ruby_on_rails:3.2.8  
  • Rubyonrails Ruby_on_rails:3.2.7  
  • Rubyonrails Ruby_on_rails:3.2.6  

补丁

  • rails-3.2.11
  • rails-3.1.10
  • rails-3.0.19
  • rails-2.3.15

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0