GLSA-201412-28:Ruby on Rails:多种漏洞
critical Nessus 插件 ID 79981
语言:
简介
远程 Gentoo 主机缺少一个或多个与安全有关的修补程序。描述
远程主机受到 GLSA-201412-28 中所述漏洞的影响(Ruby on Rails:多种漏洞)在 Ruby on Rails 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
影响:
远程攻击者可执行任意代码或造成拒绝服务情况。此外,远程攻击者可能可以执行任意 SQL 命令、更改表单输入的参数名并对系统中的任意记录进行更改、绕过预期访问限制、呈现任意视图、注入任意 Web 脚本或 HTML 或者执行跨站请求伪造 (CSRF) 攻击。
变通方案:
目前无任何已知的变通方案。
解决方案
所有 Ruby on Rails 2.x 用户应升级到最新版本:# emerge --sync # emerge --ask --oneshot --verbose '>=dev-ruby/rails-2.3.18' 注意:还应在应用程序目录内运行“rake rails:update”将所有使用 Ruby on Rails 的应用程序配置为使用可用的最新版本。
注意:这是旧的 GLSA 和用于 Ruby on Rails 的稳定更新,包括上述不受影响的版本,Gentoo 中不再提供。可能可以升级到 3.2、4.0 或 4.1 分支,但是这些程序包当前不稳定。
另见
插件详情
严重性: Critical
ID: 79981
文件名: gentoo_GLSA-201412-28.nasl
版本: 1.6
类型: local
发布时间: 2014/12/15
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:gentoo:linux:rails, cpe:/o:gentoo:linux
必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/12/14
可利用的方式
Metasploit (Ruby on Rails JSON Processor YAML Deserialization Code Execution)
参考资料信息
CVE: CVE-2010-3933, CVE-2011-0446, CVE-2011-0447, CVE-2011-0448, CVE-2011-0449, CVE-2011-2929, CVE-2011-2930, CVE-2011-2931, CVE-2011-2932, CVE-2011-3186, CVE-2013-0155, CVE-2013-0156, CVE-2013-0276, CVE-2013-0277, CVE-2013-0333, CVE-2013-1854, CVE-2013-1855, CVE-2013-1856, CVE-2013-1857
BID: 44124, 46291, 46292, 49179, 57187, 57192, 57575, 57896, 57898, 58549, 58552, 58554, 58555
GLSA: 201412-28