Ruby on Rails Active Record组件数据类型注入漏洞

漏洞信息详情

Ruby on Rails Active Record组件数据类型注入漏洞

• CNNVD编号：CNNVD-201304-457
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-3221
  
• 漏洞类型：
  
  
  输入验证错误
  
• 发布时间：
  
  2013-04-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-08-09
  
• 厂        商：
  
  rubyonrails
• 漏洞来源：

Active Record是一种领域模型模式，实现了Rails的对象关系映射。

Ruby on Rails中的Active Record组件中存在漏洞，该漏洞在输入值与数据库某一列中存储值的对比时，程序并未确认该数据库列中的声明数据类型是否被使用。远程攻击者可通过特制的值利用该漏洞对Ruby on Rails应用程序实施数据类型注入攻击，如（非预期的‘类型化的XML’功能和MySQL数据库之间的交互。）以下版本中存在漏洞：Ruby on Rails 2.3.x，3.0.x，3.1.x以及3.2.x版本。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://openwall.com/lists/oss-security/2013/02/06/7

来源:MLIST

链接:http://openwall.com/lists/oss-security/2013/04/24/7

来源:MLIST

链接:http://openwall.com/lists/oss-security/2013/02/06/7

来源:MISC

链接:http://pl.reddit.com/r/netsec/comments/17yajp/mysql_madness_and_rails/

来源:CONFIRM

链接:https://gist.github.com/dakull/5442275

来源:MISC

链接:http://www.phenoelit.org/blog/archives/2013/02/index.html

来源:MLIST

链接:https://groups.google.com/group/rubyonrails-security/msg/1f3bc0b88a60c1ce?dmode=source&output=gplain