漏洞信息详情
Cocaine Ruby Gems 远程命令注入漏洞
- CNNVD编号:CNNVD-201310-635
- 危害等级: 高危
- CVE编号: CVE-2013-4457
- 漏洞类型: 操作系统命令注入
- 发布时间: 2013-10-30
- 威胁类型: 远程
- 更新时间: 2013-11-04
- 厂 商: thoughtbot
- 漏洞来源: Holger Just
漏洞简介
Cocaine Ruby Gems是RubyGems组织的一个可用命令创建小型数据库的包。
Ruby的Cocaine gem 0.4.0至0.5.2版本中存在任意命令执行漏洞,该漏洞源于程序使用变量替换的方法。上下文相关的攻击者可借助特制的对象利用该漏洞执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.openwall.com/lists/oss-security/2013/10/22/10
参考网址
来源: github.com
链接:https://github.com/thoughtbot/cocaine/blob/master/NEWS.md
来源: MLIST
名称: [oss-security] 20131022 Recursive Interpolation Vulnerability in Cocaine rubygem (CVE-2013-4457)
链接:http://www.openwall.com/lists/oss-security/2013/10/22/10
来源: SECUNIA
名称: 55365
链接:http://secunia.com/advisories/55365
来源: OSVDB
名称: 98835
链接:http://osvdb.org/98835
来源: BID
名称: 63304
链接:http://www.securityfocus.com/bid/63304
受影响实体
- Thoughtbot Cocaine:0.5.2:-:~~~Ruby~~
- Thoughtbot Cocaine:0.5.0:~~~Ruby~~
- Thoughtbot Cocaine:0.5.1:-:~~~Ruby~~
- Thoughtbot Cocaine:0.4.2:-:~~~Ruby~~
- Thoughtbot Cocaine:0.4.0:-:~~~Ruby~~
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论