Ruby on Rails 多個漏洞
最後更新
2013年01月10日 10:42
發佈日期:
2013年01月10日
2190
觀看次數
風險: 高度風險
類型: 伺服器 - 互聯網應用伺服器
在 Ruby on Rails 發現多個漏洞。遠端使用者可利用漏洞產生不安全查詢、繞過保安系統、插入 SQL 指令、插入並執行任意程式碼及導致阻斷服務。
- 遠端使用者可透過提供特製數據,利用 Active Record 檢查漏洞及 JSON 參數編譯錯誤,執行
包含 "IS NULL" 或空白 where 子句的數據庫查詢。 - 由於編譯參數的程式碼不恰當把數值由字串轉換成某些數據類型,攻擊者可利用漏洞控制目標 Rails 應用程式。
影響
- 跨網站指令碼
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- 2.3.15、3.0.19、3.1.10 及 3.2.11 之前的版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 軟件商已提供修補程式(2.3.15、3.0.19、3.1.10 及 3.2.11)。
http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
漏洞識別碼
資料來源
相關連結
分享至