helper.rb'远程命令注入漏洞

发布日期:2013-08-02
更新日期:2013-08-06

受影响系统:
rubygems rgpg 0.2.3
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 61575

rgpg是与gpg工具交互的简单API。

rgpg将没有有效过滤的用户输入传递到System ()函数去执行。如果该API用在rail应用上下文中,用户若在lib/rgpg/gpg_helper.rb中提供了类似";" 、"&"的shell元字符,则有可能在shell中注入远程命令。攻击者可利用此漏洞在受影响应用上下文中执行任意命令。

<*来源:Larry W. Cashdollar (lwc@vapid.dhs.org)
 
  链接:
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://rubygems.org/gems/rgpg

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/e522e8f4f371d8bc03b600219735434f.html