Множественные уязвимости в Ruby on Rails

Дата публикации:
19.02.2014
Дата изменения:
19.02.2014
Всего просмотров:
845
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2014-0080
CVE-2014-0081
CVE-2014-0082
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ruby on Rails 3.2.x
Ruby on Rails 4.0.x
Описание: Уязвимости позволяют удаленному пользователю произвести XSS нападение, манипулировать определенными данными и вызвать отказ в обслуживании.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "format", "negative_format", "units" в помощниках "number_to_currency", "number_to_percentage" и "number_to_human". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за ошибки при обработке заголовка текста в компоненте Action View. Удаленный пользователь может потребить все доступные ресурсы процессора на системе.

3. Уязвимость существует из-за недостаточной обработки входных данных в Active Record. Удаленный пользователь может с помощью специально сформированного запроса манипулировать определенными данными в таблице базы данных PostgreSQL.

URL производителя: http://rubyonrails.org

Решение: Установите последнюю версию 3.2.17 или 4.0.3 с сайта

Ссылки: http://weblog.rubyonrails.org/2014/2/18/Rails_3_2_17_4_0_3_and_4_1_0_beta2_have_been_released/
https://groups.google.com/forum/#
https://groups.google.com/forum/#
https://groups.google.com/forum/#

или введите имя

CAPTCHA