CH azonosító
CH-8632Angol cím
Ruby PDFKit Gem Parameter Parsing Code Execution VulnerabilityFelfedezés dátuma
2013.03.04.Súlyosság
KözepesÖsszefoglaló
A PDFKit gem for Ruby egy sérülékenységét jelentették, amit kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet egy bemeneti adat ellenőrzési hiba okozza, amely a PDF fájlok generálásra közben a paraméterek feldolgozása alatt keletkezik. Ezt kihasználva tetszőleges kódot lehet végrehajtani a pdfkit paraméter kapcsolókon keresztül.
A sérülékenység sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé, de szükséges, hogy egy alkalmazás lehetővé tegye a paraméterek használatát a PDF fájlok generálásához.
A sérülékenységet a 0.5.3 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: github.com
CVE-2013-1607 - NVD CVE-2013-1607
SECUNIA 52497