51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Ruby on Rails http_authentication.rb Nil凭据绕过认证漏洞

作者:佚名
安全 漏洞
绕过认证##远程攻击##立即处理[msg]影响版本: David Heinemeier Hansson Ruby on Rails 2.3.2漏洞描述: BUGTRAQ ID: 35579 Ruby on Rails是一个新的Web应用程序框架,构建在Ruby语言之上。

影响版本:

David Heinemeier Hansson Ruby on Rails 2.3.2漏洞描述:

BUGTRAQ  ID: 35579

Ruby on Rails是一个新的Web应用程序框架,构建在Ruby语言之上。

Ruby on Rails的actionpack/lib/action_controller/http_authentication.rb文件中的 validate_digest_response()函数在处理nil凭据时存在错误,如果没有找到用户返回的是nil,而正确的行为是返回 false。远程攻击者发送空的认证凭据就可以绕过HTTP认证获得非授权访问。

<*参考  http://secunia.com/advisories/35702/

http://weblog.rubyonrails.org/2009/6/3/security-problem-with-authenticate_with_http_digest *>

SEBUG安全建议:

厂商补丁:

David Heinemeier Hansson

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://github.com/rails/rails/commit/1ad57cfe2fbda58439e4b7f84008ad23bc68e8b0

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
漏洞补丁
相关推荐
Ruby nil概念详解
Rubynil的意思实际上是false的意思,当我们选取某个对象的属性时,首先要判断的就是对象是否为nil,就是是否为false。

2009-12-16 14:51:26

Ruby nil
Ruby on Rails安装指南(Ruby 1.8.6+Rails 2.0.2)
本文介绍了RubyonRails安装的过程。本文使用的版本是Ruby1.8.626,以及Rails2.0.2。

2009-08-27 10:21:22

Ruby on Rai
Ruby on Rails入门之道
Ruby的流行已经不是一天两天了,本文带领你见识一下进入Ruby编程的几个境界,并综合Ruby社区的声音,对Ruby学习者提出了一系列的建议。

2009-08-06 09:13:36

Ruby on Rai
Ruby on Rails XML参数注入漏洞(CVE-2013-0156)分析
近日RoR的漏洞大爆发,就在昨天临晨,RoR的官网发布了新的两个安全漏洞补丁,CVE20130155和CVE20130156.

2013-01-10 16:12:02

Ruby on Rai漏洞
安装Ruby on Rails技巧讲解
我们在这里为大家分步骤介绍了安装RubyonRails的必要准备和具体方法。希望通过本文介绍的内容能充分掌握这一安装技巧。

2009-12-14 15:30:43

安装Ruby on R
如何提高 Ruby On Rails 性能
大家总是说Rails好慢啊,这差不多已经成为RubyandRails社区里的一个老生常谈的问题了。然而实际上这个说法并不正确。只要正确使用Rails,把你的应用运行速度提升10倍并不困难。那么如何优化你的应用呢,我们来了解下面的内容。

2015-10-14 17:27:18

性能
总结各种Ruby on Rails命令
RubyonRails命令各种各样,掌握起来还是比较麻烦的。为此我们就帮助大家总结这些常用命令,方便大家以后查询。

2009-12-17 14:29:50

Ruby on Rai
黑客利用Ruby on Rails漏洞危害服务器 制造僵尸网络
黑客正在利用RubyonRails网络应用程序开发框架的一个严重漏洞来危害网络服务器并制造僵尸网络。

2013-05-31 09:56:54

如何提高 Ruby On Rails 性能
大家总是说Rails好慢啊,这差不多已经成为RubyandRails社区里的一个老生常谈的问题了。然而实际上这个说法并不正确。只要正确使用Rails,把你的应用运行速度提升10倍并不困难。那么如何优化你的应用呢,我们来了解下面的内容。

2015-10-10 11:00:05

RubyRails性能
Ruby on Rails调试经验分享
RubyonRailsc在实际使用中有许多技巧和隐藏的功能值得我们去深入研究。在这里我们将会学到RubyonRails调试的相关技巧。

2009-12-16 16:37:59

Ruby on Rai
Ruby on Rails注意事项讲解
RubyonRails注意事项是需要我们在不断的实际使用中慢慢积累体会的。比如RubyonRails的优化首先是为人,其次才是编辑器和框架等等。

2009-12-16 15:41:10

Ruby on Rai
解读Ruby on Rails的成功秘籍
RubyonRails好像一直处于争论的风口浪尖。大多数争论的核心是其所宣称的令人惊异的生产力,本文研究了使RubyOnRails在某个领域如此高效率的折衷和设计决策。

2010-09-25 14:39:29

Bruce Tate
Ruby on Rails应用技巧全解析
RubyonRails应用技巧是需要我们在实际应用中逐渐积累的,在这里我们就为大家总结了一些常见的应用技巧,帮助大家理解。

2009-12-17 17:37:42

Ruby on Rai
Ruby on rails性能优化经验分享
Rubyonrails性能优化可以在硬件;操作系统;WebServer;Ruby的部署;应用程序;缓存以及Session的存储方式邓方面来实现。

2009-12-16 15:23:33

Ruby on rai
Ruby on Rails验证输入技术讲解
RubyonRails验证输入的应用方法在本文中会做一个详细的介绍,希望大家可以通过介绍能够充分掌握这一技巧的应用。

2009-12-16 17:37:31

Ruby on Rai
VMware 修复了三个身份认证绕过漏洞
目前,VMware为Windows已经为客户发布了WorkspaceONEAssist22.10(89993),对这些漏洞进行了修补。

2022-11-10 09:57:24

Ruby 社区应该去 Rails 化了
node.js和Go都是最近两年服务器端高并发编程的热门语言,Linkedin和Iron.io抛弃Ruby迁移之后,都获得10倍以上的系统性能提升,效果非常好。当然这两篇新闻报导引发的争议也非常大.

2013-03-28 12:42:02

RubyRails
DHH漫谈Ruby on Rails的文化
本文是RubyonRails创始人DHH的一次访谈,采访方式Oreilly记者TimO'Brien。这次对话讨论了一些RubyonRails的技术和趋势,其中包括当时的Twitter性能问题。

2009-09-29 17:04:29

Ruby on Rails命名约定概念详解
RubyonRails命名约定首先要进行的就是假定数据库中表名和变量命名需要一致性。并且还要才作用小写字母,这点需要我们注意。

2009-12-16 16:24:00

Ruby on Rai
在Nginx上运行Ruby on Rails
本文将指导您在UbuntuDebian上从Ruby和Rails开始,一步一步的安装配置RubyonRails环境,并结合Nginx运行环境获得优异的性能。

2010-10-09 08:58:03

NginxRuby on Rai
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服