Ruby on Rails 多個漏洞
最後更新
2013年02月14日 15:13
發佈日期:
2013年02月14日
1622
觀看次數
風險: 中度風險
類型: 伺服器 - 互聯網應用伺服器
在 Ruby on Rails 及一個用於開發網上應用程式的 Ruby framework 發現兩個漏洞。
- 透過特製請求,可繞過由 attr_protected 方法提供的黑名單,構成對應用程式方面的影響。
- 在某些應用程式,ActiveRecord 內的 +serialize+ helper 可被誤導反序列化 YAML 數據,攻擊者可利用漏洞執行任意程式碼。
影響
- 遠端執行程式碼
受影響之系統或技術
- 2.3.5-1.2+squeeze7 之前的版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 更新至版本 2.3.5-1.2+squeeze7
漏洞識別碼
資料來源
相關連結
分享至