Összefoglaló
A Ruby egy sérülékenységet jelentették, amit kihasználva támadók módosíthatnak bizonyos adatokat.
Leírás
A Ruby egy sérülékenységet jelentették, amit kihasználva támadók módosíthatnak bizonyos adatokat.
A sérülékenységet az okozza, hogy a WEBrick komponens naplózza a HTTP kéréseken keresztül kapott terminál vezérlősorozatokat. Ezt kihasználva a vezérlősorozatokat át lehet adni egy terminál emulátornak, amikor a felhasználó megnyit egy WEBrick naplóállományt.
A sérülékenység az alábbi verziókat érinti:
- Ruby 1.8.6 patchlevel 383 és korábbi.
- Ruby 1.8.7 patchlevel 248 és korábbi.
- Ruby 1.9.1 patchlevel 376 és korábbi.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.ush.it
Gyártói referencia: www.ruby-lang.org
SECUNIA 37949
CVE-2009-4492 - NVD CVE-2009-4492