发布日期:2013-02-11
更新日期:2013-03-07
受影响系统:
rubygems JSON 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57899
CVE(CAN) ID: CVE-2013-0269
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。Ruby json Gem是以C语言编写的Ruby扩展,是JSON的实现。
JSON 1.7.7, 1.6.8, 1.5.5之前版本允许远程攻击者造成拒绝服务或绕过“mass assignment protection”机制,通过特制的JSON文档触发构建任意Ruby符号或某些内部对象,远程攻击者可针对Ruby on Rails执行SQL注入攻击。
<*来源:Thomas Hollstegge
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: