Ruby nori Gem ‘XML’参数远程命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1169103 漏洞类型 输入验证
发布时间 2013-02-14 更新时间 2013-02-14
CVE编号 CVE-2013-0285 CNNVD-ID CNNVD-201302-373
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/57955
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201302-373
|漏洞详情
norigemforRuby是一款Ruby应用Ruby的norigem2.0.2之前的2.0.x版本,1.1.4之前的1.1.x版本,1.0.3之前的1.0.x版本中存在漏洞,该漏洞源于程序没有正确限制字符串值的类型转换。通过利用ActionPack支持(1)YAML或(2)Symbol类型转换,远程攻击者可利用该漏洞实施对象注入攻击并执行任意代码,或导致拒绝服务(内存和CUP耗尽)涉及嵌套的XML实体引用。
|参考资料

来源:support.cloud.engineyard.com
链接:https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately
来源:MLIST
名称:[oss-security]20130213SomerubygemsrelatedCVEs
链接:http://seclists.org/oss-sec/2013/q1/304
来源:SECUNIA
名称:52193
链接:http://secunia.com/advisories/52193
来源:BID
名称:57955
链接:http://www.securityfocus.com/bid/57955