阿里云漏洞库

漏洞描述

Ruby on Rails是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架。Action Controller是其中的一个MVC的C控制器组件。

Ruby On Rails Action Controller存在安全漏洞，允许远程攻击者可利用该漏洞提交特殊请求获取敏感信息。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
http://weblog.rubyonrails.org/2016/1/25/Rails-5-0-0-beta1-1-4-2-5-1-4-1-14-1-3-2-22-1-and-rails-html-sanitizer-1-0-3-have-been-released/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178043.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178047.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178067.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/178068.html
http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00053.html
http://lists.opensuse.org/opensuse-updates/2016-02/msg00034.html
http://lists.opensuse.org/opensuse-updates/2016-02/msg00043.html
http://rhn.redhat.com/errata/RHSA-2016-0296.html
http://www.debian.org/security/2016/dsa-3464
http://www.openwall.com/lists/oss-security/2016/01/25/8
http://www.securityfocus.com/bid/81803
http://www.securitytracker.com/id/1034816
https://groups.google.com/forum/message/raw?msg=ruby-security-ann/ANv0HDHEC3k...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rubyonrails	rails	4.0.0	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.1	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.10	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.2	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.3	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.4	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.5	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.6	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.7	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.8	-
	运行在以下环境
	应用	rubyonrails	rails	4.0.9	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.0	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.1	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.10	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.12	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.13	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.14	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.2	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.3	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.4	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.5	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.6	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.7	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.7.1	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.8	-
	运行在以下环境
	应用	rubyonrails	rails	4.1.9	-
	运行在以下环境
	应用	rubyonrails	rails	4.2.0	-
	运行在以下环境
	应用	rubyonrails	rails	4.2.1	-
	运行在以下环境
	应用	rubyonrails	rails	4.2.2	-
	运行在以下环境
	应用	rubyonrails	rails	4.2.3	-
	运行在以下环境
	应用	rubyonrails	rails	4.2.4	-
	运行在以下环境
应用	rubyonrails	rails	4.2.5	-
运行在以下环境
应用	rubyonrails	rails	5.0.0	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	*		Up to (including) 3.2.22
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.0.10	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.0.11	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.0.11.1	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.0.12	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.0.13	-
运行在以下环境
应用	rubyonrails	ruby_on_rails	4.1.11	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 0
运行在以下环境
系统	debian_10	rails	*		Up to (excluding) 2:4.2.5.1-1
运行在以下环境
系统	debian_11	rails	*		Up to (excluding) 2:4.2.5.1-1
运行在以下环境
系统	debian_12	rails	*		Up to (excluding) 2:4.2.5.1-1
运行在以下环境
系统	debian_7	ruby-actionpack-3.2	*		Up to (excluding) 3.2.6-6+deb7u3
运行在以下环境
系统	debian_8	rails	*		Up to (excluding) 2:4.1.8-1+deb8u1
运行在以下环境
系统	fedora_22	rubygem-activesupport	*		Up to (excluding) 4.2.0-3.fc22
运行在以下环境
系统	fedora_23	rubygem-activesupport	*		Up to (excluding) 4.2.3-4.fc23
运行在以下环境
系统	opensuse_13.2	rubygem-activesupport-3_2-doc	*		Up to (excluding) 3.2.17-3.7.1
运行在以下环境
系统	opensuse_Leap_42.1	ruby2.1-rubygem-activemodel-4_2	*		Up to (excluding) 4.2.4-6.1
运行在以下环境
系统	suse_12	portus	*		Up to (excluding) 2.0.3-2
运行在以下环境
系统	ubuntu_16.04.7_lts	rails	*		Up to (excluding) 2:4.2.6-1
运行在以下环境
系统	ubuntu_18.04.5_lts	rails	*		Up to (excluding) 2:4.2.6-1
运行在以下环境
系统	ubuntu_18.10	rails	*		Up to (excluding) 2:4.2.6-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

中危 Ruby On Rails Action Controller信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况