Ruby on Rails路由 HTTP GET请求拒绝服务漏洞

CNNVD-ID编号	CNNVD-200608-220
CVE编号	CVE-2006-4112
发布时间	2006-08-14
更新时间	2019-08-09
漏洞类型	访问验证错误
漏洞来源	Michael spacoom@gmx.net
危险等级	高危
威胁类型	远程
厂商	rubyonrails

漏洞介绍

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。

Rails的路由代码中存在漏洞，如果攻击者发布了特制的HTTP GET请求的话，就会触发这个漏洞，导致拒绝服务。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-0.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-1.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-2.diff

http://www.rubyonrails.org/files/aug_10_security/rel_1-1-4.diff

参考网址

来源:BUGTRAQ

链接：http://www.securityfocus.com/archive/1/442934/100/0/threaded
来源:SECTRACK

链接：http://securitytracker.com/id?1016673
来源:XF

链接：https://exchange.xforce.ibmcloud.com/vulnerabilities/28364
来源:BID

链接：https://www.securityfocus.com/bid/19454
来源:SECUNIA

链接：http://secunia.com/advisories/21424
来源:CERT-VN

链接：http://www.kb.cert.org/vuls/id/699540
来源:SECUNIA

链接：http://secunia.com/advisories/21466
来源:GENTOO

链接：http://www.gentoo.org/security/en/glsa/glsa-200608-20.xml
来源:SUSE

链接：http://www.novell.com/linux/security/advisories/2006_21_sr.html
来源:SECUNIA

链接：http://secunia.com/advisories/21749

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200608-220

行业资讯-文章归档问答-问答归档