漏洞信息详情
Ruby 'FileUtils.remove_entry_secure()'方法任意文件删除漏洞
- CNNVD编号:CNNVD-201103-049
- 危害等级: 低危
- CVE编号: CVE-2011-1004
- 漏洞类型: 后置链接
- 发布时间: 2011-03-03
- 威胁类型: 本地
- 更新时间: 2011-03-04
- 厂 商: ruby-lang
- 漏洞来源:
漏洞简介
Ruby是一种功能强大的面向对象的脚本语言。
Ruby 1.8.6至1.8.6-420版本,1.8.7至1.8.7-330版本,1.8.8dev版本,1.9.1至1.9.1-430版本,1.9.2至1.9.2-136版本,以及1.9.3dev版本中的FileUtils.remove_entry_secure方法中存在漏洞。本地用户可以借助符号链接攻击删除任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ruby-lang.org/en/news/2011/02/18/fileutils-is-vulnerable-to-symlink-race-attacks/
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=678913
来源: BID
名称: 46460
链接:http://www.securityfocus.com/bid/46460
来源: www.ruby-lang.org
链接:http://www.ruby-lang.org/en/news/2011/02/18/fileutils-is-vulnerable-to-symlink-race-attacks/
来源: MLIST
名称: [oss-security] 20110221 Re: CVE request: ruby: FileUtils is vulnerable to symlink race attacks + Exception methods can bypass $SAFE
链接:http://www.openwall.com/lists/oss-security/2011/02/21/5
来源: MLIST
名称: [oss-security] 20110221 CVE request: ruby: FileUtils is vulnerable to symlink race attacks + Exception methods can bypass $SAFE
链接:http://www.openwall.com/lists/oss-security/2011/02/21/2
来源: SECUNIA
名称: 43434
链接:http://secunia.com/advisories/43434
来源:NSFOCUS
名称:16477
链接:http://www.nsfocus.net/vulndb/16477
受影响实体
- Ruby-Lang Ruby:1.8.6
- Ruby-Lang Ruby:1.8.7
- Ruby-Lang Ruby:1.8.8:Dev
- Ruby-Lang Ruby:1.9.1
- Ruby-Lang Ruby:1.9.2
补丁
- ruby-1.8.7-p334
- ruby-1.9.1-p431
- ruby-1.9.2-p180
- ruby-1.9.1-p431
- ruby-1.9.2-p180
评论