当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Ruby on Rails \'ActiveRecord\'SQL注入漏洞

     发表日期:2014-07-28 14:30:13

Ruby on Rails \'ActiveRecord\'SQL注入漏洞

BugTraq-ID:68343

CVE-ID:2014-3482

 

 

受影响系统:

Ruby on Rails Ruby on Rails < 3.2.19

Ruby on Rails Ruby on Rails 2.x

Ruby on Rails Ruby on Rails

详细信息:

 

Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。

 

 

 

Ruby on Rails 2.x版本、3.2.19之前的3.x版本中,PostgreSQL adapter for Active Record内的activerecord/lib/active_record/connection_adapters/postgresql_adapter.rb存在SQL注入漏洞,远程攻击者通过错误的比特串引用,利用此漏洞执行任意SQL命令。

 

 

解决办法:

厂商补丁:

 

Ruby on Rails

-------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

http://www.rubyonrails.com/

 

 

 

参考:

 

http://openwall.com/lists/oss-security/2014/07/02/5

 

https://groups.google.com/forum/message/raw?msg=rubyonrails-security/wDxePLJGZdI/WP7EasCJTA4J