IT技术互动交流平台

Ruby on Rails “authenticate_or_request_with_http_digest”方法拒绝服务漏洞

发布日期:2012-07-31 19:32:51

漏洞扫描SSV-AppDir: Ruby on Rails
发布时间: 2012-07-26 (GMT+0800)
漏洞版本:Ruby on Rails 3.2.x
Ruby on Rails 3.1.x
Ruby on Rails 3.0.x漏洞描述:BUGTRAQ  ID: 54704
CVE ID: CVE-2012-3424

Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。

Ruby on Rails 3.0.16、3.1.7、3.2.7之前版本在使用了"with_http_digest" 控制器助手方法的actionpack/lib/action_controller/metal/http_authentication.rb中存在错误,可被恶意用户利用造成拒绝服务。<* 参考
http://secunia.com/advisories/48682/
*>
安全建议:厂商补丁:

Ruby on Rails
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.rubyonrails.com/@Sebug.net [ 2012-07-31 ]


延伸阅读:

  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规