Компрометация системы в Ruby on Rails

Дата публикации:
11.01.2013
Дата изменения:
30.05.2013
Всего просмотров:
1440
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2013-0155
CVE-2013-0156
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ruby on Rails 2.3.x
Ruby on Rails 3.0.x
Ruby on Rails 3.1.x
Ruby on Rails 3.2.x
Уязвимые версии: Ruby on Rails версии до 3.2.11.
Ruby on Rails версии до 3.1.10.
Ruby on Rails версии до 3.0.19.
Ruby on Rails версии до 2.3.15.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки при обработке XML параметров, из-за чего символы и YAML типы могут стать частью POST запроса. Удаленный пользователь может скомпрометировать целевую систему.

Примечание: Уязвимость активно эксплуатируется в настоящее время.

URL производителя: http://rubyonrails.org/

Решение: Установите последнюю версию 3.2.11, 3.1.10, 3.0.19 или 2.3.15 с сайта производителя.

Ссылки: https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ
https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/t1WFuuQyavI
Журнал изменений:
30.05.2013 Добавлена информация о появлении функционального эксплоита.

или введите имя

CAPTCHA