RubyGems 'ldoce' 远程命令执行漏洞(CVE-2013-1911)

RubyGems 'ldoce' 远程命令执行漏洞(CVE-2013-1911)

发布日期：2013-03-31
更新日期：2013-04-02

受影响系统：
rubygems ldoce
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 58783
 CVE(CAN) ID: CVE-2013-1911
 
RubyGems 'ldoce'是朗文当代英语字典的API。
 
ldoce 0.0.2及其他版本没有正确验证word.rb内的输入，远程攻击者通过精心构建的mp3 URL利用此漏洞在系统上注入和执行任意命令。
 
<*来源：Larry W. Cashdollar （lwc@vapid.dhs.org）
 
  链接：http://xforce.iss.net/xforce/xfdb/83163
 *>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
[./ldoce-0.0.2/lib/ldoce/word.rb]
 
    if mp3?
        unless File.exists? filename
          command = "curl #{mp3_url} -silent > {filename}"
          `{command}`
        end
        `afplay #{filename}`
      end

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
rubygems
 --------
 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
 
http://rubygems.org/gems/ldoce