CVE编号
CVE-2019-11027利用情况
暂无补丁情况
官方补丁披露时间
2019-06-11漏洞描述
Ruby OpenID(又名ruby-openid)到2.8.0有一个可远程利用的漏洞。 Rails Web应用程序使用此库与OpenID提供程序集成。严重性可以从中等到严重,具体取决于Web应用程序开发人员如何选择使用ruby-openid库。将OpenID集成大量基于项目提供的“示例应用程序”的开发人员风险最高。解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://github.com/openid/ruby-openid
参考链接 |
|
|---|---|
| https://github.com/openid/ruby-openid/issues/122 | |
| https://lists.debian.org/debian-lts-announce/2019/10/msg00014.html | |
| https://marc.info/?l=openid-security&m=155154717027534&w=2 | |
| https://security.gentoo.org/glsa/202003-09 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openid | ruby-openid | * |
Up to (including) 2.8.0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | ruby-openid | * |
Up to (excluding) 2.7.0debian-1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_8 | ruby-openid | * |
Up to (excluding) 2.5.0debian-1+deb8u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | ruby-openid | * |
Up to (excluding) 2.7.0debian-1 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...