Обход ограничений безопасности в json gem для Ruby

Дата публикации:
12.02.2013
Дата изменения:
12.02.2013
Всего просмотров:
4668
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID:
CVE-2013-0269
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
json gem for Ruby 1.x
Уязвимые версии: json gem для Ruby версии до 1.5.5.
json gem для Ruby версии до 1.6.8.
json gem для Ruby версии до 1.7.7.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки при обработке входных данных в gem. Удаленный пользователь может вызвать отказ в обслуживании.

URL производителя: https://rubygems.org/gems/json

Решение: Установите последнюю версию 1.7.7, 1.6.8 или 1.5.5 с сайта производителя.

Ссылки: http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/4_YvCpLzL58
http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection

или введите имя

CAPTCHA