CVE-2013-0155 和 CVE-2013-0156 的补丁。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

Ruby on Rails 团队报告：

已发现两个高风险漏洞：

(CVE-2013-0155) 当 Active Record 与 JSON 参数解析结合使用时存在一个漏洞。

由于 Active Record 解释参数的方式结合解析 JSON 参数的方式，攻击者可能使用“IS NULL”或空“WHERE”子句发出非预期的数据库查询。此问题不让攻击者在 SQL 查询中插入任意值，但他们在大多数用户未预期到时可造成查询检查 NULL 或消除 WHERE 子句。

(CVE-2013-0156) Ruby on Rails 的参数解析代码中存在多个漏洞，允许攻击者绕过认证系统、注入任意 SQL、注入和执行任意代码或者对 Rails 应用程序执行 DoS 攻击。

Ruby on Rails 的参数解析代码允许应用程序自动将值从字符串转换为某些数据类型。
很遗憾，类型转换代码支持的某些转换不适用于对用户提供的数据执行，包括创建 Symbols 和解析 YAML。这些不适用的转换可被攻击者用来损害 Rails 应用程序。

远程主机受到 GLSA-201412-28 中所述漏洞的影响（Ruby on Rails：多种漏洞）

在 Ruby on Rails 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可执行任意代码或造成拒绝服务情况。此外，远程攻击者可能可以执行任意 SQL 命令、更改表单输入的参数名并对系统中的任意记录进行更改、绕过预期访问限制、呈现任意视图、注入任意 Web 脚本或 HTML 或者执行跨站请求伪造 (CSRF) 攻击。
 变通方案：

目前无任何已知的变通方案。

- 修正 CVE-2013-4491：rubygem-actionpack：i18n 遺漏的轉譯 XSS (bnc#853625)。檔案 CVE-2013-4491.patch 包含修補程式

- 修正 CVE-2013-6414：rubygem-actionpack：動作檢視 DoS (bnc#853633)。檔案 CVE-2013-6414.patch 包含修補程式。

- 修正 CVE-2013-6415：rubygem-actionpack：
 number_to_currency XSS (bnc#853632)。檔案 CVE-2013-6415.patch 包含修補程式。

- 修正 CVE-2013-6417：rubygem-actionpack：不安全的查詢產生風險 (不完整的 CVE-2013-0155 修正) (bnc#853627)。檔案 CVE-2013-6417.patch 包含修補程式。

CVE-2013-0155 和 CVE-2013-0156 的修正。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此更新程式將 RubyOnRails 2.3 堆疊更新至 2.3.16 版，並且將 RubyOnRails 3.2 堆疊更新至 3.2.11 版。

完成最重要的安全性和錯誤修正：CVE-2013-0333：修正 JSON sql/程式碼插入問題。CVE-2012-5664：修正 Active Record 中的一個 SQL 插入弱點。CVE-2012-2695：修正一個透過條件式巢狀雜湊導致的 SQL 插入。CVE-2013-0155：
在 Rails 的 Ruby 中修正不安全的查詢產生風險。
CVE-2013-0156：修正 Action Pack 中的多個參數剖析弱點。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
63657	Fedora 16：rubygem-actionpack-3.0.10-10.fc16 / rubygem-activemodel-3.0.10-2.fc16 / 等 (2013-0686)	Nessus	Fedora Local Security Checks	2013/1/23	2021/1/11	high
63435	FreeBSD：rubygem-rails -- 多种漏洞 (ca5d3272-59e3-11e2-853b-00262d5ed8ee)	Nessus	FreeBSD Local Security Checks	2013/1/9	2021/1/6	high
79981	GLSA-201412-28：Ruby on Rails：多种漏洞	Nessus	Gentoo Local Security Checks	2014/12/15	2021/1/6	critical
75235	openSUSE 安全性更新：rubygem-actionpack-3_2 (openSUSE-SU-2013:1907-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
63654	Fedora 17：rubygem-actionpack-3.0.11-8.fc17 / rubygem-activemodel-3.0.11-2.fc17 / etc (2013-0635)	Nessus	Fedora Local Security Checks	2013/1/23	2021/1/11	high
74881	openSUSE 安全性更新：ruby (openSUSE-SU-2013:0278-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

检测

插件搜索

high

high

critical

medium

high

high