CH azonosító
CH-8216Angol cím
Ruby on Rails XML Parameter Parsing VulnerabilityFelfedezés dátuma
2013.01.09.Súlyosság
MagasÉrintett rendszerek
Rails Core TeamRuby on Rails
Érintett verziók
Ruby on Rails 2.3.x, 3.0.x, 3.1.x, 3.2.x
Összefoglaló
A Ruby on Rails olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.
Leírás
A sérülékenységet az XML paraméterek elemzésekor jelentkező hiba okozza, amely miatt a symbol és yaml típusok a kérés részéi lehetnek, és ez kihasználható tetszőleges parancsok futtatására.
Megjegyzés: Egy további sérülékenységet jelentettek a JSON paraméterek kezelésében, amely a lekérdezés NULL érték ellenőrzéséhez vagy a WHERE feltétel kiiktatásához vezethet.
A sérülékenységet a 3.2.11, 3.1.10, 3.0.19 és 2.3.15 megelőző verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: groups.google.com
Gyártói referencia: groups.google.com
CVE-2013-0155 - NVD CVE-2013-0155
CVE-2013-0156 - NVD CVE-2013-0156
SECUNIA 51753