漏洞信息详情
Ruby on Rails Action Pack 拒绝服务漏洞
- CNNVD编号:CNNVD-201602-031 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2015-7581
- 漏洞类型: 资源管理错误
- 发布时间: 2015-01-25
- 威胁类型: 远程
- 更新时间: 2019-08-09
- 厂 商: rubyonrails
- 漏洞来源: Aaron Patterson
-
漏洞简介
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Action Pack是其中的一个用于构建和测试MVC Web应用程序的组件。
Ruby on Rails 4.2.5.1之前4.x版本和5.0.0.beta1.1之前5.x版本的Action Pack中的actionpack/lib/action_dispatch/routing/route_set.rb文件中存在安全漏洞。远程攻击者可借助使用‘:controller’通配符的应用程序利用该漏洞造成拒绝服务(缓存冗余和内存消耗)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/
参考网址
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2016-02/msg00043.html
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178043.html
来源:MLIST
链接:https://groups.google.com/forum/message/raw?msg=ruby-security-ann/dthJ5wL69JE/IdvCimtZEgAJ
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178067.html
来源:BID
链接:https://www.securityfocus.com/bid/81677
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2016-0296.html
来源:SUSE
链接:http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00053.html
来源:SECTRACK
链接:http://www.securitytracker.com/id/1034816
来源:DEBIAN
链接:http://www.debian.org/security/2016/dsa-3464
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2016/01/25/16
受影响实体
- Rubyonrails Ruby_on_rails:4.2.3<!--2000-1-1-->
- Rubyonrails Ruby_on_rails:4.0.6<!--2000-1-1-->
- Rubyonrails Ruby_on_rails:4.0.5<!--2000-1-1-->
- Rubyonrails Ruby_on_rails:4.0.4<!--2000-1-1-->
- Rubyonrails Ruby_on_rails:4.0.0:-<!--2000-1-1-->
补丁
- Ruby on Rails Action Pack 拒绝服务漏洞的修复措施<!--2016-2-3-->
还没有评论,来说两句吧...