CH azonosító
CH-8617Angol cím
Ruby ftpd Gem Shell Command Injection VulnerabilityFelfedezés dátuma
2013.03.03.Súlyosság
KözepesÖsszefoglaló
Az ftpd gem for Ruby olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva feltörhetik a sérülékeny rendszert.
Leírás
Az „ls()” függvényben (lib/ftpd/disk_file_system.rb) a fájlnév által átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt parancssori paraméterként felhasználásra kerülnének. Ez kihasználható tetszőleges konzolparancsok befecskendezésére és futtatására.
A sérülékenységet a 0.2.1 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52407
Egyéb referencia: seclists.org