JVNDB-2013-001553

Ruby on Rails の ActiveRecord における attr_protected 保護メカニズムを回避される脆弱性

Ruby on Rails の ActiveRecord には、attr_protected 保護メカニズムを回避される、および保護されたモデル属性が改ざんされる脆弱性が存在します。

Ruby on Rails project

• Rails 2.3.17 未満の 2.3.x
• Rails 3.1.11 未満の 3.1.x
• Rails 3.2.12 未満の 3.2.x

アップル

• Apple Mac OS X 10.6.8
• Apple Mac OS X Server 10.6.8

第三者により、巧妙に細工されたリクエストを介して、attr_protected 保護メカニズムを回避される、および保護されたモデル属性が改ざんされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian Security Advisory : DSA-2620

openSUSE project

• opensuse-updates : openSUSE-SU-2013:0462

Ruby on Rails project

• Google Groups : Circumvention of attr_protected [CVE-2013-0276]
• Rails weblog : [SEC][ANN] Rails 3.2.12, 3.1.11, and 2.3.17 have been released!

アップル

• Apple Mailing Lists : APPLE-SA-2013-06-04-1
• Apple Security Updates : HT5784
• Apple セキュリティアップデート : HT5784

レッドハット

• Red Hat Security Advisory : RHSA-2013:0686

1. 認可・権限・アクセス制御(CWE-264) [NVD評価]

1. CVE-2013-0276

1. JVN : JVNVU#92046435
2. National Vulnerability Database (NVD) : CVE-2013-0276

• [2013年02月15日]
    掲載
  [2013年03月14日]
    ベンダ情報：Debian (DSA-2620) を追加
  [2013年04月05日]
    ベンダ情報：レッドハット (RHSA-2013:0686) を追加
  [2013年05月17日]
    ベンダ情報：openSUSE (openSUSE-SU-2013:0462) を追加
  [2013年06月07日]
    影響を受けるシステム：アップル (HT5784) の情報を追加
    ベンダ情報：アップル (HT5784) を追加
    ベンダ情報：アップル (APPLE-SA-2013-06-04-1) を追加