JVNDB-2013-001019
|
Ruby on Rails に複数の脆弱性
|
|
Ruby on Rails には、複数の脆弱性が存在します。
Ruby on Rails の Action Pack には、パラメータ解析処理に複数の脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Ruby on Rails project
- Rails 3.2.11 より前の 3.2 系
- Rails 3.1.10 より前の 3.1 系
- Rails 3.0.19 より前の 3.0 系
- Rails 2.3.15 より前の 2.3 系
アップル
- Apple Mac OS X Server 10.6.8
- Apple Mac OS X Server v10.7 から v10.7.5
- Apple Mac OS X Server v2.1.1 未満 (OS X v10.8 以降)
富士通
- ServerView Resource Coordinator VE Enterprise V2.1.0
- ServerView Resource Coordinator VE Enterprise V2.1.1
- ServerView Resource Coordinator VE Enterprise V2.1.2
- ServerView Resource Coordinator VE Enterprise V2.1.3
- ServerView Resource Coordinator VE Enterprise V2.2.0
- ServerView Resource Coordinator VE Enterprise V2.2.2
- ServerView Resource Coordinator VE Standard V2.1.0
- ServerView Resource Coordinator VE Standard V2.1.1
- ServerView Resource Coordinator VE Standard V2.1.2
- ServerView Resource Coordinator VE Standard V2.1.3
- ServerView Resource Coordinator VE Standard V2.2.0
- ServerView Resource Coordinator VE Standard V2.2.2
- ServerView Resource Orchestrator Cloud Edition V3.0.0
- ServerView Resource Orchestrator Cloud Edition V3.1.0
- ServerView Resource Orchestrator Cloud Edition V3.1.1
- ServerView Resource Orchestrator Express V3.1.0
- ServerView Resource Orchestrator Express V3.1.1
- ServerView Resource Orchestrator V2.2.0
- ServerView Resource Orchestrator V2.2.1
- ServerView Resource Orchestrator V2.2.2
- ServerView Resource Orchestrator V2.3.0
- ServerView Resource Orchestrator Virtual Edition V3.0.0
- ServerView Resource Orchestrator Virtual Edition V3.1.0
- ServerView Resource Orchestrator Virtual Edition V3.1.1
- ServerView Resource Coordinator VE Compact セット V2.1.0
- ServerView Resource Coordinator VE Compact セット V2.1.1
- ServerView Resource Coordinator VE Compact セット V2.1.2
- ServerView Resource Coordinator VE Compact セット V2.1.3
- ServerView Resource Coordinator VE Compact セット V2.2.0
- ServerView Resource Coordinator VE Compact セット V2.2.2
- ServerView Resource Orchestrator Cloud Edition V3.1.0A
- ServerView Resource Orchestrator Cloud Edition V3.1.1A
- ServerView Resource Orchestrator Cloud Edition V3.1.2
- ServerView Resource Orchestrator Express V3.1.0A
- ServerView Resource Orchestrator Express V3.1.1A
- ServerView Resource Orchestrator Express V3.1.2
- ServerView Resource Orchestrator Virtual Edition V3.1.0A
- ServerView Resource Orchestrator Virtual Edition V3.1.1A
- ServerView Resource Orchestrator Virtual Edition V3.1.2
- Systemwalker Resource Coordinator Virtual server Edition 13.3.0
|
|
|
遠隔の第三者によって、認証が回避されたり、任意のコードが実行されたり、任意の SQL コマンドが実行されたりするなどの可能性があります。
|
|
[アップデートする]
最新版へアップデートしてください。
[パッチを適用する]
対応するパッチを適用してください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* XML の解析処理を無効にする
* XML の解析処理において、YAML および Symbol のサポートを無効にする
* YAML の解析処理を無効にする
詳しくは開発者が提供する情報をご確認ください。
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
|
|
Debian
Ruby on Rails project
アップル
レッドハット
富士通
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
|
- CVE-2013-0156
|
|
- JVN : JVNVU#94771138
- JVN : JVNVU#90360497
- JVN : JVNVU#93436975
- National Vulnerability Database (NVD) : CVE-2013-0156
- US-CERT Vulnerability Note : VU#380039
- US-CERT Vulnerability Note : VU#628463
- ICS-CERT ADVISORY : ICSA-13-036-01A
|
|
- [2013年01月10日]
掲載
[2013年01月15日]
CWE による脆弱性タイプ一覧:CWE-ID を追加
[2013年02月05日]
CVSS による深刻度:基本値と機密性への影響、完全性への影響、可用性への影響を変更
[2013年02月20日]
ベンダ情報:Debian (DSA-2604) を追加
ベンダ情報:レッドハット (RHSA-2013:0153) を追加
ベンダ情報:レッドハット (RHSA-2013:0154) を追加
ベンダ情報:レッドハット (RHSA-2013:0155) を追加
[2013年03月14日]
影響を受けるシステム:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の情報を追加
ベンダ情報:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) を追加
[2013年04月02日]
影響を受けるシステム:アップル (HT5644) の情報を追加
影響を受けるシステム:アップル (HT5672) の情報を追加
ベンダ情報:アップル (HT5644) を追加
ベンダ情報:アップル (HT5672) を追加
ベンダ情報:アップル (APPLE-SA-2013-03-14-1) を追加
[2014年03月28日]
影響を受けるシステム:富士通 (Ruby on Railsのセキュリティ脆弱性(CVE-2013-0156) (2013年3月13日)) の内容を更新
|
