Security Lab

Обход ограничений безопасности в json gem для Ruby

Дата публикации:12.02.2013
Всего просмотров:4960
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
CVE ID: CVE-2013-0269
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: json gem for Ruby 1.x
Уязвимые версии: json gem для Ruby версии до 1.5.5.
json gem для Ruby версии до 1.6.8.
json gem для Ruby версии до 1.7.7.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки при обработке входных данных в gem. Удаленный пользователь может вызвать отказ в обслуживании.

URL производителя: https://rubygems.org/gems/json

Решение: Установите последнюю версию 1.7.7, 1.6.8 или 1.5.5 с сайта производителя.

Ссылки: http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/4_YvCpLzL58
http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection