发布日期:2013-02-11
更新日期:2013-03-07受影响系统:
rubygems JSON 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57899
CVE(CAN) ID: CVE-2013-0269
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。Ruby json Gem是以C语言编写的Ruby扩展,是JSON的实现。
JSON 1.7.7, 1.6.8, 1.5.5之前版本允许远程攻击者造成拒绝服务或绕过“mass assignment protection”机制,通过特制的JSON文档触发构建任意Ruby符号或某些内部对象,远程攻击者可针对Ruby on Rails执行SQL注入攻击。
<*来源:Thomas Hollstegge
链接:http://seclists.org/oss-sec/2013/q1/284
http://secunia.com/advisories/52075
http://www.osvdb.org/90074
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://rubygems.org/gems/json
http://seclists.org/oss-sec/2013/q1/att-284/0001-Security-fix-create_additons-JSON-GenericObject.patchCitrix Access Gateway 不明细节安全绕过漏洞Squid "httpMakeVaryMark()"函数远程拒绝服务漏洞相关资讯 json JSON安全漏洞
- 为什么Android开发者应该使用 (07月10日)
- Json关于java.sql.Date的处理 (05月18日)
- [译]JSON数据范式化(normalizr) (02月12日)
| - JSON的理解及读取 (06月15日)
- MySQL 5.7 对JSON的支持 (04月16日)
- 带双反斜杠的Json数据至单反斜杠的 (12/14/2015 20:20:02)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
<
|
易网时代-编程资源站