Ruby on Rails biztonsági rések


2016. január 27. 09:13

CH azonosító

CH-12982

Angol cím

Ruby on Rails vulnerabilities

Felfedezés dátuma

2016.01.24.

Súlyosság

Magas

Érintett rendszerek

Ruby

Érintett verziók

Ruby on Rails 3.2.x
Ruby on Rails 4.1.x
Ruby on Rails 4.2.x

Összefoglaló

A Rails több sérülékenységét javították, amelyek jogosulatlan távoli kódfuttatást, szolgáltatásmegtagadásos támadásokat, adatlopást, és adatmanipulációt segíthetnek elő.

Leírás

Az érintett összetevők, funkciók:

  • Action Controller (http_basic_authenticate_with() függvényhívások esetén)
  • Action Pack
  • Active Record
  • render() metódus
  • Active Model
  • rails-html-sanitizer komponens.

Megoldás

Az alábbi verziók már nem tartalmazzák a sérülékenységeket:
3.2.22.1
4.1.14.1
4.2.5.1

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute arbitrary code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: weblog.rubyonrails.org
CVE-2015-7576 - NVD CVE-2015-7576
CVE-2015-7577 - NVD CVE-2015-7577
CVE-2015-7578 - NVD CVE-2015-7578
CVE-2015-7579 - NVD CVE-2015-7579
CVE-2015-7580 - NVD CVE-2015-7580
CVE-2015-7581 - NVD CVE-2015-7581
CVE-2016-0751 - NVD CVE-2016-0751
CVE-2016-0752 - NVD CVE-2016-0752
CVE-2016-0753 - NVD CVE-2016-0753

Legfrissebb sérülékenységek
CVE-2026-5281 – Google Dawn Use-After-Free sérülékenység
CVE-2026-4415 – Gigabyte Control Center sérülékenysége
CVE-2026-27483 – mindsdb sérülékenysége
CVE-2026-20079 – Cisco Secure Firewall Management Center (FMC) sérülékenysége
CVE-2026-3502 – TrueConf sérülékenysége
CVE-2026-25075 – strongSwan sérülékenysége
CVE-2026-21643 – Fortinet sérülékenysége
CVE-2025-53521 – F5 BIG-IP Unspecified sérülékenység
CVE-2026-33634 – Aquasecurity Trivy Embedded Malicious Code sérülékenység
CVE-2026-4681 – PTC Remote Code Execution sérülékenység
Tovább a sérülékenységekhez »