Ruby on Rails http_authentication.rb Nil凭据绕过认证漏洞

安全 漏洞
绕过认证##远程攻击##立即处理[msg]影响版本: David Heinemeier Hansson Ruby on Rails 2.3.2漏洞描述: BUGTRAQ ID: 35579 Ruby on Rails是一个新的Web应用程序框架,构建在Ruby语言之上。

影响版本:

David Heinemeier Hansson Ruby on Rails 2.3.2漏洞描述:

BUGTRAQ  ID: 35579

Ruby on Rails是一个新的Web应用程序框架,构建在Ruby语言之上。

Ruby on Rails的actionpack/lib/action_controller/http_authentication.rb文件中的 validate_digest_response()函数在处理nil凭据时存在错误,如果没有找到用户返回的是nil,而正确的行为是返回 false。远程攻击者发送空的认证凭据就可以绕过HTTP认证获得非授权访问。

<*参考  http://secunia.com/advisories/35702/

http://weblog.rubyonrails.org/2009/6/3/security-problem-with-authenticate_with_http_digest *>

SEBUG安全建议:

厂商补丁:

David Heinemeier Hansson

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://github.com/rails/rails/commit/1ad57cfe2fbda58439e4b7f84008ad23bc68e8b0

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
相关推荐

2009-12-16 14:51:26

Ruby nil

2009-08-27 10:21:22

Ruby on Rai

2009-08-06 09:13:36

Ruby on Rai

2013-01-10 16:12:02

Ruby on Rai漏洞

2009-12-17 14:29:50

Ruby on Rai

2009-12-14 15:30:43

安装Ruby on R

2015-10-14 17:27:18

性能

2009-12-16 16:37:59

Ruby on Rai

2015-10-10 11:00:05

RubyRails性能

2013-05-31 09:56:54

2010-09-25 14:39:29

Bruce Tate

2009-12-16 17:37:31

Ruby on Rai

2009-12-16 15:41:10

Ruby on Rai

2009-12-17 17:37:42

Ruby on Rai

2009-12-16 15:23:33

Ruby on rai

2009-12-16 16:24:00

Ruby on Rai

2009-09-29 17:04:29

2013-03-28 12:42:02

RubyRails

2010-07-12 09:22:05

RubyRuby on rai

2010-10-09 08:58:03

NginxRuby on Rai
点赞
收藏

51CTO技术栈公众号