• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-537-1 ruby -- небезопасные права доступа к файлу

Главная Специалистам База уязвимостей DSA-537-1 ruby -- небезопасные права доступа к файлу

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
irb (any) libcurses-ruby (any) libdbm-ruby (any) libgdbm-ruby (any) libnkf-ruby (any) libpty-ruby (any) libreadline-ruby (any) libruby (any) libsdbm-ruby (any) libsyslog-ruby (any) libtcltk-ruby (any) libtk-ruby (any) ruby (any) ruby-dev (any) ruby-elisp (any) ruby-examples (any)
Описание
Андрес Саломон (Andres Salomon) сообщил о проблеме в коде управления
сеансами CGI в Ruby, объектно-ориентированном языке написания скриптов.
Реализации FileStore (и, предположительно, также PStore) в CGI::Session
сохраняют информацию о сеансе небезопасным образом. Они просто создают
файлы, не обращая внимания на права доступа. Это может позволить
нападающему, имеющему доступ к оболочке на web-сервере, перехватить
сеанс.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.6.7-3woody3.
В нестабильном и тестируемом дистрибутивах (sid и sarge) это проблема
исправлена в версии 1.8.1+1.8.2pre1-4.
Мы рекомендуем вам обновить пакет libruby.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
s390x:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
m68k:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
i686:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
hppa:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
sparc:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
alpha:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
ia64:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
mips:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
noarch:
irb - 1.6.7-3woody3
ruby-elisp - 1.6.7-3woody3
ruby-examples - 1.6.7-3woody3
mipsel:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
arm:
libcurses-ruby - 1.6.7-3woody3
libdbm-ruby - 1.6.7-3woody3
libgdbm-ruby - 1.6.7-3woody3
libnkf-ruby - 1.6.7-3woody3
libpty-ruby - 1.6.7-3woody3
libreadline-ruby - 1.6.7-3woody3
libruby - 1.6.7-3woody3
libsdbm-ruby - 1.6.7-3woody3
libsyslog-ruby - 1.6.7-3woody3
libtcltk-ruby - 1.6.7-3woody3
libtk-ruby - 1.6.7-3woody3
ruby - 1.6.7-3woody3
ruby-dev - 1.6.7-3woody3
Ссылки
http://www.debian.org/security/dsa-537/

Источник: CVE
Наименование: CVE-2004-0755
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0755