漏洞信息详情
Ruby on Rails 不安全查询生成漏洞
- CNNVD编号:CNNVD-201301-212
- 危害等级: 中危
- CVE编号: CVE-2013-0155
- 漏洞类型: 权限许可和访问控制问题
- 发布时间: 2013-01-14
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源:
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。
Ruby on Rails 3.0.19之前的3.0.x版本,3.1.10之前的3.1.x版本,3.2.11之前的3.2.x版本中存在漏洞,该漏洞源于程序没有正确的考量在Active Record组件与jsON实现之间所处理的参数的差异。通过特制的请求(如‘[nil]’值),远程攻击者利用该漏洞绕过预期的数据库查询限制,执行空校验或触发丢失WHERE子句。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.rubyonrails.com/
参考网址
来源:MLIST
链接:https://groups.Google.com/group/rubyonrails-security/msg/bc6f13dafe130ee9?dmode=source&output=gplain
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2013-0155.HTML
来源:MISC
链接:http://ics-cert.us-cert.gov/advisories/ICSA-13-036-01A
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00079.HTML
来源:CONFIRM
链接:https://puppet.com/security/cve/cve-2013-0155
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00082.HTML
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2013-0154.HTML
来源:CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple
链接:http://lists.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/archives/security-announce/2013/Jun/msg00000.HTML
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.HTML
来源:DEBIAN
链接:http://www.debian.org/security/2013/dsa-2609
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00081.HTML
来源:CONFIRM
链接:http://support.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/kb/HT5784
受影响实体
- Rubyonrails Ruby_on_rails:3.2.10
- Rubyonrails Ruby_on_rails:3.2.9
- Rubyonrails Ruby_on_rails:3.2.8
- Rubyonrails Ruby_on_rails:3.2.7
- Rubyonrails Ruby_on_rails:3.2.6
补丁
- Ruby on Rails 不安全查询生成漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论