漏洞信息详情
Ruby on Rails Action Mailer 格式化字符串漏洞
- CNNVD编号:CNNVD-201310-453
- 危害等级: 中危
- CVE编号: CVE-2013-4389
- 漏洞类型: 格式化字符串错误
- 发布时间: 2013-10-23
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源:
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。
Ruby on Rails 3.2.15之前的3.x版本中的Action Mailer应用程序中的log subscriber组件中的log_subscriber.rb文件中存在格式化字符串漏洞,该漏洞源于程序在构造日志消息期间没有正确处理电子邮件地址。远程攻击者可借助特制的电子邮件地址利用该漏洞造成拒绝服务。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://groups.Google.com/forum/message/raw?msg=ruby-security-ann/yvlR1Vx44c8/elKJkpO2KVgJ
参考网址
来源:MLIST
链接:https://groups.Google.com/forum/message/raw?msg=ruby-security-ann/yvlR1Vx44c8/elKJkpO2KVgJ
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00094.HTML
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2013-12/msg00091.HTML
来源:DEBIAN
链接:http://www.debian.org/security/2014/dsa-2888
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2014-01/msg00003.HTML
来源:DEBIAN
链接:http://www.debian.org/security/2014/dsa-2887
受影响实体
- Rubyonrails Ruby_on_rails:3.0.17
- Rubyonrails Ruby_on_rails:3.0.18
- Rubyonrails Ruby_on_rails:3.2.11
- Rubyonrails Ruby_on_rails:3.2.2
- Rubyonrails Ruby_on_rails:3.2.3
补丁
- Ruby on Rails Action Mailer 格式化字符串漏洞的修复措施
评论