阿里云漏洞库

漏洞描述

Ruby on Rails是一款Web应用程序框架，构建在Ruby语言之上。

Ruby on Rails未能正确过滤"format", "negative_format"和"units"参数提交给"number_to_currency", "number_to_percentage"和"number_to_human" helpers的输入数据，允许远程攻击者可以利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客户端上进行恶意操作。

解决建议

Ruby on Rails 3.2.17，4.0.3, 4.1.0.beta2已经修复该漏洞，建议用户下载更新：
http://www.rubyonrails.org/

参考链接
http://lists.opensuse.org/opensuse-updates/2014-02/msg00081.html
http://openwall.com/lists/oss-security/2014/02/18/8
http://rhn.redhat.com/errata/RHSA-2014-0215.html
http://rhn.redhat.com/errata/RHSA-2014-0306.html
http://secunia.com/advisories/57376
http://www.securityfocus.com/bid/65647
http://www.securitytracker.com/id/1029782
https://groups.google.com/forum/message/raw?msg=rubyonrails-security/tfp6gZCt...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	cloudforms	3.0	-
	运行在以下环境
	应用	rubyonrails	rails	0.10.0	-
	运行在以下环境
	应用	rubyonrails	rails	0.10.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.11.0	-
	运行在以下环境
	应用	rubyonrails	rails	0.11.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.12.0	-
	运行在以下环境
	应用	rubyonrails	rails	0.12.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.13.0	-
	运行在以下环境
	应用	rubyonrails	rails	0.13.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.14.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.14.2	-
	运行在以下环境
	应用	rubyonrails	rails	0.14.3	-
	运行在以下环境
	应用	rubyonrails	rails	0.14.4	-
	运行在以下环境
	应用	rubyonrails	rails	0.9.1	-
	运行在以下环境
	应用	rubyonrails	rails	0.9.2	-
	运行在以下环境
	应用	rubyonrails	rails	0.9.3	-
	运行在以下环境
	应用	rubyonrails	rails	0.9.4	-
	运行在以下环境
	应用	rubyonrails	rails	0.9.4.1	-
	运行在以下环境
	应用	rubyonrails	rails	1.0.0	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.0	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.1	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.2	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.3	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.4	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.5	-
	运行在以下环境
	应用	rubyonrails	rails	1.1.6	-
	运行在以下环境
	应用	rubyonrails	rails	1.2.0	-
	运行在以下环境
	应用	rubyonrails	rails	1.2.1	-
	运行在以下环境
	应用	rubyonrails	rails	1.2.2	-
	运行在以下环境
	应用	rubyonrails	rails	1.2.3	-
	运行在以下环境
	应用	rubyonrails	rails	1.2.4	-
	运行在以下环境
应用	rubyonrails	rails	1.2.5	-
运行在以下环境
应用	rubyonrails	rails	1.2.6	-
运行在以下环境
应用	rubyonrails	rails	1.9.5	-
运行在以下环境
应用	rubyonrails	rails	2.0.0	-
运行在以下环境
应用	rubyonrails	rails	2.0.1	-
运行在以下环境
应用	rubyonrails	rails	2.0.2	-
运行在以下环境
应用	rubyonrails	rails	2.0.4	-
运行在以下环境
应用	rubyonrails	rails	2.1.0	-
运行在以下环境
应用	rubyonrails	rails	2.1.1	-
运行在以下环境
应用	rubyonrails	rails	2.1.2	-
运行在以下环境
应用	rubyonrails	rails	2.2.0	-
运行在以下环境
应用	rubyonrails	rails	2.2.1	-
运行在以下环境
应用	rubyonrails	rails	2.2.2	-
运行在以下环境
应用	rubyonrails	rails	2.3.0	-
运行在以下环境
应用	rubyonrails	rails	2.3.1	-
运行在以下环境
应用	rubyonrails	rails	2.3.10	-
运行在以下环境
应用	rubyonrails	rails	2.3.11	-
运行在以下环境
应用	rubyonrails	rails	2.3.12	-
运行在以下环境
应用	rubyonrails	rails	2.3.13	-
运行在以下环境
应用	rubyonrails	rails	2.3.14	-
运行在以下环境
应用	rubyonrails	rails	2.3.15	-
运行在以下环境
应用	rubyonrails	rails	2.3.16	-
运行在以下环境
应用	rubyonrails	rails	2.3.2	-
运行在以下环境
应用	rubyonrails	rails	2.3.3	-
运行在以下环境
应用	rubyonrails	rails	2.3.4	-
运行在以下环境
应用	rubyonrails	rails	2.3.9	-
运行在以下环境
应用	rubyonrails	rails	3.0.0	-
运行在以下环境
应用	rubyonrails	rails	3.0.1	-
运行在以下环境
应用	rubyonrails	rails	3.0.10	-
运行在以下环境
应用	rubyonrails	rails	3.0.11	-
运行在以下环境
应用	rubyonrails	rails	3.0.12	-
运行在以下环境
应用	rubyonrails	rails	3.0.13	-
运行在以下环境
应用	rubyonrails	rails	3.0.14	-
运行在以下环境
应用	rubyonrails	rails	3.0.16	-
运行在以下环境
应用	rubyonrails	rails	3.0.17	-
运行在以下环境
应用	rubyonrails	rails	3.0.18	-
运行在以下环境
应用	rubyonrails	rails	3.0.19	-
运行在以下环境
应用	rubyonrails	rails	3.0.2	-
运行在以下环境
应用	rubyonrails	rails	3.0.20	-
运行在以下环境
应用	rubyonrails	rails	3.0.3	-
运行在以下环境
应用	rubyonrails	rails	3.0.4	-
运行在以下环境
应用	rubyonrails	rails	3.0.5	-
运行在以下环境
应用	rubyonrails	rails	3.0.6	-
运行在以下环境
应用	rubyonrails	rails	3.0.7	-
运行在以下环境
应用	rubyonrails	rails	3.0.8	-
运行在以下环境
应用	rubyonrails	rails	3.0.9	-
运行在以下环境
应用	rubyonrails	rails	3.1.0	-
运行在以下环境
应用	rubyonrails	rails	3.1.1	-
运行在以下环境
应用	rubyonrails	rails	3.1.10	-
运行在以下环境
应用	rubyonrails	rails	3.1.2	-
运行在以下环境
应用	rubyonrails	rails	3.1.3	-
运行在以下环境
应用	rubyonrails	rails	3.1.4	-
运行在以下环境
应用	rubyonrails	rails	3.1.5	-
运行在以下环境
应用	rubyonrails	rails	3.1.6	-
运行在以下环境
应用	rubyonrails	rails	3.1.7	-
运行在以下环境
应用	rubyonrails	rails	3.1.8	-
运行在以下环境
应用	rubyonrails	rails	3.1.9	-
运行在以下环境
应用	rubyonrails	rails	3.2.0	-
运行在以下环境
应用	rubyonrails	rails	3.2.1	-
运行在以下环境
应用	rubyonrails	rails	3.2.10	-
运行在以下环境
应用	rubyonrails	rails	3.2.11	-
运行在以下环境
应用	rubyonrails	rails	3.2.12	-
运行在以下环境
应用	rubyonrails	rails	3.2.13	-
运行在以下环境
应用	rubyonrails	rails	3.2.15	-
运行在以下环境
应用	rubyonrails	rails	3.2.2	-
运行在以下环境
应用	rubyonrails	rails	3.2.3	-
运行在以下环境
应用	rubyonrails	rails	3.2.4	-
运行在以下环境
应用	rubyonrails	rails	3.2.5	-
运行在以下环境
应用	rubyonrails	rails	3.2.6	-
运行在以下环境
应用	rubyonrails	rails	3.2.7	-
运行在以下环境
应用	rubyonrails	rails	3.2.8	-
运行在以下环境
应用	rubyonrails	rails	3.2.9	-
运行在以下环境
应用	rubyonrails	rails	4.0.0	-
运行在以下环境
应用	rubyonrails	rails	4.0.1	-
运行在以下环境
应用	rubyonrails	rails	4.0.2	-
运行在以下环境
应用	rubyonrails	rails	4.1.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	*		Up to (including) 3.2.16
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.5.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.5.5	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.5.6	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.5.7	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.6.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.6.5	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.7.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.8.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.8.5	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	0.9.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	3.0.4	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	3.2.14	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	3.2.15	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 3.2.6-6+deb7u2
运行在以下环境
系统	debian_10	rails	*		Up to (excluding) 2.3.14.1
运行在以下环境
系统	debian_11	rails	*		Up to (excluding) 2.3.14.1
运行在以下环境
系统	debian_12	rails	*		Up to (excluding) 2.3.14.1
运行在以下环境
系统	debian_7	ruby-actionpack-3.2	*		Up to (excluding) 3.2.6-6+deb7u2
运行在以下环境
系统	opensuse	opensuse	13.1	-
运行在以下环境
系统	opensuse_project	opensuse	12.3	-
运行在以下环境
系统	redhat	enterprise_linux	6.0	-

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

低危 Ruby on Rails up to 4.0.1 number_helper.rb 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况