Ruby on Rails路由上传文件HTTP GET请求拒绝服务漏洞

CNNVD-ID编号	CNNVD-200608-225
CVE编号	CVE-2006-4111
发布时间	2006-08-14
更新时间	2019-08-09
漏洞类型	代码注入
漏洞来源	Michael spacoom@gmx.net
危险等级	高危
威胁类型	远程
厂商	rubyonrails

漏洞介绍

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。

Rails的路由代码中存在漏洞，如果攻击者发布了上传文件利用HTTP GET请求的话，就会触发这个漏洞，导致拒绝服务。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-0.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-1.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-2.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-4.diff

参考网址

来源:SECTRACK

链接：http://securitytracker.com/id?1016673
来源:BID

链接：https://www.securityfocus.com/bid/19454
来源:SECUNIA

链接：http://secunia.com/advisories/21466
来源:MISC

链接：http://blog.koehntopp.de/archives/1367-Ruby-On-Rails-Mandatory-Mystery-Patch.html
来源:CONFIRM

链接：http://weblog.rubyonrails.org/2006/8/9/rails-1-1-5-mandatory-security-patch-and-other-tidbits
来源:GENTOO

链接：http://www.gentoo.org/security/en/glsa/glsa-200608-20.xml
来源:SUSE

链接：http://www.novell.com/linux/security/advisories/2006_21_sr.html
来源:VUPEN

链接：http://www.vupen.com/english/advisories/2006/3237

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200608-225

行业资讯-文章归档问答-问答归档