漏洞信息详情
Ruby on Rails Rack 拒绝服务漏洞
- CNNVD编号:CNNVD-201506-461 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2015-3225
- 漏洞类型:
- 发布时间: 2015-06-24
- 威胁类型: 远程
- 更新时间: 2015-07-27
- 厂 商: debian
- 漏洞来源: Tomek Rabczak from...
-
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Rack是软件开发者Christian Neukirchen所研发的一个Ruby Web服务器接口,它为Web服务器、Web框架和中间件的API进行了统一,并支持使用单一的方法调用。
Ruby on Rails中使用的Rack中的lib/rack/utils.rb文件存在安全漏洞。远程攻击者可通过发送带有较大参数depth值的请求利用该漏洞造成拒绝服务(SystemStackError)。以下产品及版本受到影响:Ruby on Rails 3.x版本和4.x版本,Rack 1.5.4之前版本,1.6.2之前1.6.x版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/rack/rack/blob/master/HISTORY.md
参考网址
来源:MLIST
链接:http://openwall.com/lists/oss-security/2015/06/16/14
来源:MLIST
链接:https://groups.google.com/forum/message/raw?msg=rubyonrails-security/gcUbICUmKMc/qiCotVZwXrMJ
来源:github.com
链接:https://github.com/rack/rack/blob/master/HISTORY.md
来源: BID
链接:http://www.securityfocus.com/bid/75232
受影响实体
- Debian Debian_linux:7.0<!--2000-1-1-->
- Debian Debian_linux:8.0<!--2000-1-1-->
补丁
- rack-1.5.4<!--2015-6-16-->
- rack-1.5.4<!--2015-6-16-->
- rack-1.6.2<!--2015-6-13-->
- rack-1.6.2<!--2015-6-13-->
还没有评论,来说两句吧...