漏洞信息详情

fog-dragonfly Ruby Gem ‘imagemagickutils.rb’命令注入漏洞

• CNNVD编号：CNNVD-201308-551
• 危害等级： 高危
  
• CVE编号： CVE-2013-5671
• 漏洞类型： 代码注入
• 发布时间： 2013-09-04
• 威胁类型： 远程
• 更新时间： 2014-05-13
• 厂        商： mark_evans
• 漏洞来源： Larry W. Cashdollar

漏洞简介

fog-dragonfly gem for Ruby 是英国软件开发者Mark Evans和法国软件开发者Cyril Mougel共同研发的一套基于Rack的Ruby图像处理框架。

Ruby fog-dragonfly gem 0.8.2版本的lib/dragonfly/imagemagickutils.rb文件存在安全漏洞。远程攻击者可利用该漏洞执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

https://github.com/markevans/dragonfly

参考网址

来源:MLIST

名称:[oss-security] 20130901 Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem

链接:http://seclists.org/oss-sec/2013/q3/526

来源:www.vapid.dhs.org

链接:http://www.vapid.dhs.org/advisories/fog-dragonfly-0.8.2-cmd-inj.HTML

来源:MLIST

名称:[oss-security] 20130901 Re: Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem

链接:http://seclists.org/oss-sec/2013/q3/528

来源:FULLDISC

名称:20130903 Remote Command Injection in fog-dragonfly-0.8.2 Ruby Gem

链接:http://seclists.org/fulldisclosure/2013/Sep/18

来源:OSVDB

名称:96798

链接:http://www.osvdb.org/96798

来源: BID

名称: 62092

链接:http://www.securityfocus.com/bid/62092

受影响实体

• Mark_evans Fog-Dragonfly:0.8.2:~~~Ruby~~  

补丁

• dragonfly-0.8.3
• dragonfly-0.8.3