CH azonosító
CH-8180Angol cím
Ruby on Rails Method Parameters SQL Injection VulnerabilityFelfedezés dátuma
2013.01.02.Súlyosság
KözepesÉrintett rendszerek
Rails Core TeamRuby on Rails
Érintett verziók
Ruby on Rails 2.3.x, 3.0.x, 3.1.x, 3.2.x
Összefoglaló
A Ruby on Rails egy sérülékenységét jelentették, amit kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
Metódus paramétereken keresztül az Active Record interfésznek átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt SQL lekérdezésekben felhasználásra kerülnének. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.
A sérülékenységet a 3.0.18, a 3.1.9 és a 3.2.10 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: groups.google.com
CVE-2012-5664 - NVD CVE-2012-5664
SECUNIA 51697