CH azonosító
CH-8342Angol cím
Ruby on Rails JSON Parser YAML Handling VulnerabilityFelfedezés dátuma
2013.01.28.Súlyosság
MagasÖsszefoglaló
A Ruby on Rails egy sérülékenységét jelentették, amit kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet a JSON Parser “convert_json_to_yaml()” metódusának egy hibája okozza, amely a bemeneti adatok kezelése közben a YAML adatok feldolgozásakor jelentkezik.
A sérülékenység sikeres kihasználásával tetszőleges kód futtatható.
A sérülékenységet a 3.0.20 és 2.3.16 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: weblog.rubyonrails.org
Gyártói referencia: groups.google.com
CVE-2013-0333 - NVD CVE-2013-0333
SECUNIA 51938