Ruby nori Gem ‘XML’参数远程命令执行漏洞

漏洞信息详情

Ruby nori Gem ‘XML’参数远程命令执行漏洞

• CNNVD编号：CNNVD-201302-373
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-0285
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2013-02-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-04-10
  
• 厂        商：
  
  nori_gem_project
• 漏洞来源：

nori gem for Ruby是一款Ruby应用

Ruby的nori gem 2.0.2之前的2.0.x版本，1.1.4之前的1.1.x版本，1.0.3之前的1.0.x版本中存在漏洞，该漏洞源于程序没有正确限制字符串值的类型转换。通过利用Action Pack支持(1)YAML或(2)Symbol类型转换，远程攻击者可利用该漏洞实施对象注入攻击并执行任意代码，或导致拒绝服务（内存和CUP耗尽）涉及嵌套的XML实体引用。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

来源: support.cloud.engineyard.com

链接:https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

来源: MLIST

名称: [oss-security] 20130213 Some rubygems related CVEs

链接:http://seclists.org/oss-sec/2013/q1/304

来源:SECUNIA

名称:52193

链接:http://secunia.com/advisories/52193

来源: BID

名称: 57955

链接:http://www.securityfocus.com/bid/57955