Ruby on Rails többszörös sérülékenységei

CH azonosító

CH-10605

Angol cím

Ruby on Rails Multiple Vulnerabilities

Felfedezés dátuma

2014.02.18.

Súlyosság

Alacsony

Érintett rendszerek

Ruby

Érintett verziók

Ruby on Rails 3.2.x
Ruby on Rails 4.0.x

Összefoglaló

A Ruby on Rails többszörös sérülékenysége vállt ismertté, melyet kihasználva a támadók cross-site scripting támadást hajthatnak végre, manipulálhatnak bizonyos adatokat, és szolgáltatás megtagadást (DoS Denial of Service) okozhatnak.

Leírás

  1. “format”, “negative_format”, és “units” átadott bemenetei a “number_to_currency”, “number_to_percentage”, és “number_to_human” helpereknek nincsenek megfelelően megtisztítva mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható arra hogy a felhasználó böngészőjében a fertőzött oldalon, tetszőleges HTML és script kód futtatható.  Ezt a sérülékenységet a 4.0.3 és a 3.2.17 előtti verziókból jelentették.
  2. Egy hiba található az Action View betű renderében, amikor kezelésre kerülnek bizonyos header-ek. Ez kihasználható a memória erőforrások elhasználására. Ezt a sérülékenységet a 3.2.17 előtti verziókból jelentették.
  3. Az Active Record bizonyos bemenetei nincsenek megfelelően megtisztítva mielőtt SQL lekérdezés történne. Ez kihasználható hogy manipulálják PostgreSQL adatbázisok bizonyos oszlopaitEzt a sérülékenységet a 4.0.3.előtti verziókból jelentették.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 4.0.3 vagy 3.2.17. verzióra.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »