Ruby on Rails跨站脚本攻击漏洞

漏洞信息详情

Ruby on Rails跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201106-389
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-2197
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2011-06-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-08-09
  
• 厂        商：
  
  rubyonrails
• 漏洞来源：

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。

Ruby on Rails 2.3.12之前的2.x版本，3.0.8之前的3.0.x版本，3.1.0.rc2之前的3.1.x版本中的跨站脚本攻击预防功能不能正确处理安全缓冲区的突变。远程攻击者可借助应用程序中的特制字符串执行跨站脚本攻击，该应用程序使用了不确定的string方法。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接:

http://weblog.rubyonrails.org/2011/6/8/potential-xss-vulnerability-in-ruby-on-rails-applications

来源:SECUNIA

链接:http://secunia.com/advisories/44789

来源:MLIST

链接:http://groups.google.com/group/rubyonrails-security/msg/663b600d4471e0d4?dmode=source&output=gplain

来源:CONFIRM

链接:http://weblog.rubyonrails.org/2011/6/8/potential-xss-vulnerability-in-ruby-on-rails-applications

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-June/062090.html

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-July/062514.html

来源:MLIST

链接:http://openwall.com/lists/oss-security/2011/06/09/2

来源:MLIST

链接:http://openwall.com/lists/oss-security/2011/06/13/9