漏洞信息详情
Ruby Gem Sprout ‘unpack_zip()’函数远程命令注入漏洞
- CNNVD编号:CNNVD-201312-061
- 危害等级: 高危
- CVE编号: CVE-2013-6421
- 漏洞类型: 代码注入
- 发布时间: 2013-11-12
- 威胁类型: 远程
- 更新时间: 2013-12-16
- 厂 商: projectsprouts
- 漏洞来源: Larry W. Cashdollar
漏洞简介
Ruby Gem Sprout是一套模块化的软件开发平台。该平台能够通过Ruby和RubyGems分享代码生成器、代码库、可执行文件和自动构建任务。
sprout gem for Ruby 0.7.246版本中的archive_unpacker.rb文件中的‘unpack_zip’函数中存在安全漏洞。攻击者可借助文件名或路径中的Shell元字符利用该漏洞执行任意命令。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://rubygems.org/gems/sprout
参考网址
来源: MLIST
名称: [oss-security] 20131202 Re: Command injection vulnerability in Ruby Gem sprout 0.7.246
链接:http://www.openwall.com/lists/oss-security/2013/12/03/6
来源: MLIST
名称: [oss-security] 20131202 Command injection vulnerability in Ruby Gem sprout 0.7.246
链接:http://www.openwall.com/lists/oss-security/2013/12/03/1
来源: vapid.dhs.org
链接:http://vapid.dhs.org/advisories/sprout-0.7.246-command-inj.HTML
来源: BID
名称: 64047
链接:http://www.securityfocus.com/bid/64047
受影响实体
- Projectsprouts Sprout:0.7.246:-:~-~-~Ruby~~
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论