CH azonosító
CH-3829Angol cím
Ruby on Rails Nested Attribute Handling VulnerabilityFelfedezés dátuma
2010.10.20.Súlyosság
KözepesÉrintett rendszerek
Rails Core TeamRuby on Rails
Érintett verziók
Ruby on Rails 2.3.x
Ruby on Rails 3.0.x
Összefoglaló
A Ruby on Rails olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizonyos adatok módosításáral.
Leírás
A sérülékenységet egy bemeneti adat érvényesítési hiba okozza, amikor a beágyazott attribútumok kezelése történik. Ez kihasználható tetszőleges rekordok módosítására a bemenő paraméternevek cseréjével.
A sérülékenységet a 2.3.9-es és 3.0.0-ás verziókban jelentették. A 2.3.9-est megelőző verziókat a sérülékenység nem érinti.
Megoldás
Frissítsen a 2.3.10-es vagy a 3.0.1-es verzióra vagy alkalmazza a javításokat.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: weblog.rubyonrails.org
SECUNIA 41930
CVE-2010-3933 - NVD CVE-2010-3933
