Отказ в обслуживании в Ruby on Rails

Дата публикации:
14.08.2012
Дата изменения:
14.08.2012
Всего просмотров:
1147
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) = Base:7.8/Temporal:5.8
CVE ID:
CVE-2012-3424
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ruby on Rails 3.0.x
Ruby on Rails 3.1.x
Ruby on Rails 3.2.x
Уязвимые версии:
Ruby on Rails версий до 3.0.16
Ruby on Rails версий до 3.1.7
Ruby on Rails версий до 3.2.7

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании целевой системе.

Уязвимость существует из-ща ошибки в дайджест аутентификации Action Pack (actionpack/lib/action_controller/metal/http_authentication.rb), которая использует методы помощника контроллера with_http_digest. Удаленный пользователь может вызвать отказ в обслуживании системы.

URL производителя: http://rubyonrails.org/

Решение: Для устранения уязвимости установите продукт версии 3.0.16, 3.1.7 или 3.2.7 с сайта производителя.

Ссылки: https://groups.google.com/forum/

или введите имя

CAPTCHA