JSON拒绝服务和安全绕过漏洞

发布日期:2013-02-11
更新日期:2013-03-07

受影响系统:
rubygems JSON 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57899
 CVE(CAN) ID: CVE-2013-0269
 
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。Ruby json Gem是以C语言编写的Ruby扩展,是JSON的实现。
 
JSON 1.7.7, 1.6.8, 1.5.5之前版本允许远程攻击者造成拒绝服务或绕过“mass assignment protection”机制,通过特制的JSON文档触发构建任意Ruby符号或某些内部对象,远程攻击者可针对Ruby on Rails执行SQL注入攻击。
 
<*来源:Thomas Hollstegge
 
  链接:
       
       
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
rubygems
 --------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywwzf.html