Ruby on Rails biztonsági rések


2016. január 27. 09:13

CH azonosító

CH-12982

Angol cím

Ruby on Rails vulnerabilities

Felfedezés dátuma

2016.01.24.

Súlyosság

Magas

Érintett rendszerek

Ruby

Érintett verziók

Ruby on Rails 3.2.x
Ruby on Rails 4.1.x
Ruby on Rails 4.2.x

Összefoglaló

A Rails több sérülékenységét javították, amelyek jogosulatlan távoli kódfuttatást, szolgáltatásmegtagadásos támadásokat, adatlopást, és adatmanipulációt segíthetnek elő.

Leírás

Az érintett összetevők, funkciók:

  • Action Controller (http_basic_authenticate_with() függvényhívások esetén)
  • Action Pack
  • Active Record
  • render() metódus
  • Active Model
  • rails-html-sanitizer komponens.

Megoldás

Az alábbi verziók már nem tartalmazzák a sérülékenységeket:
3.2.22.1
4.1.14.1
4.2.5.1

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute arbitrary code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: weblog.rubyonrails.org
CVE-2015-7576 - NVD CVE-2015-7576
CVE-2015-7577 - NVD CVE-2015-7577
CVE-2015-7578 - NVD CVE-2015-7578
CVE-2015-7579 - NVD CVE-2015-7579
CVE-2015-7580 - NVD CVE-2015-7580
CVE-2015-7581 - NVD CVE-2015-7581
CVE-2016-0751 - NVD CVE-2016-0751
CVE-2016-0752 - NVD CVE-2016-0752
CVE-2016-0753 - NVD CVE-2016-0753

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
Tovább a sérülékenységekhez »