漏洞信息详情
fog-dragonfly Ruby Gem ‘imagemagickutils.rb’命令注入漏洞
- CNNVD编号:CNNVD-201308-551
- 危害等级: 高危
- CVE编号: CVE-2013-5671
- 漏洞类型: 代码注入
- 发布时间: 2013-09-04
- 威胁类型: 远程
- 更新时间: 2014-05-13
- 厂 商: mark_evans
- 漏洞来源: Larry W. Cashdollar
漏洞简介
fog-dragonfly gem for Ruby 是英国软件开发者Mark Evans和法国软件开发者Cyril Mougel共同研发的一套基于Rack的Ruby图像处理框架。
Ruby fog-dragonfly gem 0.8.2版本的lib/dragonfly/imagemagickutils.rb文件存在安全漏洞。远程攻击者可利用该漏洞执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
https://github.com/markevans/dragonfly
参考网址
来源:MLIST
名称:[oss-security] 20130901 Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem
链接:http://seclists.org/oss-sec/2013/q3/526
来源:www.vapid.dhs.org
链接:http://www.vapid.dhs.org/advisories/fog-dragonfly-0.8.2-cmd-inj.HTML
来源:MLIST
名称:[oss-security] 20130901 Re: Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem
链接:http://seclists.org/oss-sec/2013/q3/528
来源:FULLDISC
名称:20130903 Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem
链接:http://seclists.org/fulldisclosure/2013/Sep/18
来源:OSVDB
名称:96798
链接:http://www.osvdb.org/96798
来源: BID
名称: 62092
链接:http://www.securityfocus.com/bid/62092
受影响实体
- Mark_evans Fog-Dragonfly:0.8.2:~~~Ruby~~
补丁
- dragonfly-0.8.3
- dragonfly-0.8.3
评论