Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
rails
(any)
Описание
Было обнаружено, что Rails, инфраструктура для разработки веб-приложений
на Ruby, выполняет недостаточную проверку вводимых параметров,
что позволяет осуществлять ненамеренные преобразования типов. Атакующий может использовать эту
уязвимость для обхода систем авторизации, инъекции произвольного SQL запроса, инъекции и
выполнения произвольного кода, либо для выполнения DoS-атаки на приложение.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 2.3.5-1.2+squeeze4.1.
В тестируемом (wheezy) и нестабильном (sid) выпусках
эта проблема будет исправлена позже.
Рекомендуется обновить пакеты rails.
на Ruby, выполняет недостаточную проверку вводимых параметров,
что позволяет осуществлять ненамеренные преобразования типов. Атакующий может использовать эту
уязвимость для обхода систем авторизации, инъекции произвольного SQL запроса, инъекции и
выполнения произвольного кода, либо для выполнения DoS-атаки на приложение.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 2.3.5-1.2+squeeze4.1.
В тестируемом (wheezy) и нестабильном (sid) выпусках
эта проблема будет исправлена позже.
Рекомендуется обновить пакеты rails.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
rails - 2.3.5-1.2+squeeze4.1
Debian GNU/Linux 6:
noarch:
rails - 2.3.5-1.2+squeeze4.1
Ссылки
http://www.debian.org/security/dsa-2604/
Источник: CVE
Наименование: CVE-2013-0156
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0156
Источник: CVE
Наименование: CVE-2013-0156
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0156