FreeBSD:Ruby Activemodel Gem -- attr_protected の回避(beab40bf-c1ca-4d2b-ad46-2f14bac8a968)
medium Nessus プラグイン ID 64667
Language:
概要
リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。説明
Aaron Patterson 氏による報告:attr_protected メソッドにより、開発者は、ユーザーが割り当てをしてはならないモデル属性のブラックリストを指定することができます。特別に細工されたリクエストを使用して、攻撃者がこのを防御を回避し、保護されるべき値を変更する可能性があります。
影響するリリースを実行している全てのユーザーは、速やかにアップグレードするか回避策を取る必要があります。また、ユーザーは、attr_protected から、この攻撃に対して脆弱ではないホワイトリストメソッドの attr_accessible への切り替えを検討する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 64667
ファイル名: freebsd_pkg_beab40bfc1ca4d2bad462f14bac8a968.nasl
バージョン: 1.5
タイプ: local
公開日: 2013/2/18
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:rubygem18-activemodel, p-cpe:/a:freebsd:freebsd:rubygem19-activemodel, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2013/2/17
脆弱性公開日: 2013/2/11
参照情報
CVE: CVE-2013-0276