• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость обхода каталога

Главная Специалистам База уязвимостей Уязвимость обхода каталога

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
irb (Unknown) ruby (Unknown)
Описание
Уязвимость обхода каталога в WEBrick в Ruby при запуске в в системах, которые поддерживают обратный слэш (\) в качестве разделителя пути или имена файлов, чувствительные к регистру, позволяет злоумышленникам, действующим удаленно, получить доступ к произвольным файлам, используя последовательности "..%5c" (закодированный обратный слеш) или имена файлов, которые соответствуют шаблонам в опции :NondisclosureName.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.ruby-lang.org/
Ссылки
CERT-VN (VU#404515): http://www.kb.cert.org/vuls/id/404515
CONFIRM (http://www.ruby-lang.org/en/news/2008/03/03/webrick-file-access-vulnerability/): http://www.ruby-lang.org/en/news/2008/03/03/webrick-file-access-vulnerability/
FEDORA (FEDORA-2008-2458): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00354.html
FEDORA (FEDORA-2008-2443): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00338.html
XF (ruby-webrick-directory-traversal(41010)): http://xforce.iss.net/xforce/xfdb/41010
REDHAT (RHSA-2008:0897): http://www.redhat.com/support/errata/RHSA-2008-0897.html
MILW0RM (5215): http://www.milw0rm.com/exploits/5215
MANDRIVA (MDVSA-2008:142): http://www.mandriva.com/security/advisories?name=MDVSA-2008:142
MANDRIVA (MDVSA-2008:141): http://www.mandriva.com/security/advisories?name=MDVSA-2008:141
VUPEN (ADV-2008-1981): http://www.frsirt.com/english/advisories/2008/1981/references
VUPEN (ADV-2008-0787): http://www.frsirt.com/english/advisories/2008/0787
CONFIRM (http://support.apple.com/kb/HT2163): http://support.apple.com/kb/HT2163
SUSE (SUSE-SR:2008:017): http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00006.html
APPLE (APPLE-SA-2008-06-30): http://lists.apple.com/archives/security-announce/2008//Jun/msg00002.html
CONFIRM (https://issues.rpath.com/browse/RPL-2338): https://issues.rpath.com/browse/RPL-2338
SECTRACK (1019562): http://www.securitytracker.com/id?1019562
BID (28123): http://www.securityfocus.com/bid/28123
BUGTRAQ (20080325 rPSA-2008-0123-1 ruby): http://www.securityfocus.com/archive/1/archive/1/490056/100/0/threaded
BUGTRAQ (20080306 Re: [DSECRG-08-018] Ruby 1.8.6 (Webrick Httpd 1.3.1) Directory traversal file Download Vulnerability): http://www.securityfocus.com/archive/1/archive/1/489218/100/0/threaded
BUGTRAQ (20080306 [DSECRG-08-018] Ruby 1.8.6 (Webrick Httpd 1.3.1) Directory traversal file Download Vulnerability): http://www.securityfocus.com/archive/1/archive/1/489205/100/0/threaded
CONFIRM (http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0123): http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0123
CONFIRM (http://wiki.rpath.com/Advisories:rPSA-2008-0123): http://wiki.rpath.com/Advisories:rPSA-2008-0123