漏洞信息详情
Ruby on Rail Authlogic gem 信息泄漏洞
- CNNVD编号:CNNVD-201301-063
- 危害等级: 高危
- CVE编号: CVE-2012-6497
- 漏洞类型: 信息泄露
- 发布时间: 2013-01-05
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源:
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。
Ruby on Rails 3.2.10之前版本中的Authlogic gem中存在漏洞,该漏洞源于使用潜在的不安全find_by_id方法调用。通过在已知secret_token值的环境下特制的参数(如开源产品中的secret_token.rb值),远程攻击者利用该漏洞进行SQL注入攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/
参考网址
来源:MISC
链接:http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/
来源:MISC
链接:http://phenoelit.org/blog/archives/2012/12/21/let_me_github_that_for_you/index.HTML
来源:MLIST
链接:http://openwall.com/lists/oss-security/2013/01/03/12
来源:BID
链接:https://www.securityfocus.com/bid/57084
受影响实体
- Rubyonrails Ruby_on_rails:3.1.2
- Rubyonrails Ruby_on_rails:3.1.3
- Rubyonrails Ruby_on_rails:3.0.4:Rc
- Rubyonrails Ruby_on_rails:3.1.0:Rc1
- Rubyonrails Ruby_on_rails:3.1.0:Rc4
补丁
- Ruby on Rail Authlogic gem 信息泄漏洞的修复措施
评论