JSON拒绝服务和安全绕过漏洞


发布日期:2013-02-11
更新日期:2013-03-07

受影响系统:
rubygems JSON 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57899
 CVE(CAN) ID: CVE-2013-0269
 
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。Ruby json Gem是以C语言编写的Ruby扩展,是JSON的实现。
 
JSON 1.7.7, 1.6.8, 1.5.5之前版本允许远程攻击者造成拒绝服务或绕过“mass assignment protection”机制,通过特制的JSON文档触发构建任意Ruby符号或某些内部对象,远程攻击者可针对Ruby on Rails执行SQL注入攻击。
 
<*来源:Thomas Hollstegge
 
  链接:http://seclists.org/oss-sec/2013/q1/284
        http://secunia.com/advisories/52075
        http://www.osvdb.org/90074
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
rubygems
 --------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://rubygems.org/gems/json
 http://seclists.org/oss-sec/2013/q1/att-284/0001-Security-fix-create_additons-JSON-GenericObject.patch

相关内容