【漏洞详情】
Ruby on Rails是基于Ruby语言的开源Web应用框架,此系统存在远程代码执行漏洞(CVE-2019-5420)和任意文件泄露漏洞 (CVE-2019-5418),成功利用后可实现远程代码执行攻击和敏感信息泄露。
【风险评级】
高危
【影响范围】
CVE-2019-5420 受影响版本如下:
Ruby on Rails 6.0.0.X
Ruby on Rails 5.2.X
CVE-2019-5418 受影响版本如下:
Ruby on Rails < 6.0.0.beta3
Ruby on Rails < 5.2.2.1
Ruby on Rails < 5.1.6.2
Ruby on Rails < 5.0.7.2
【修复建议】
建议受影响用户结合业务应用综合评估漏洞影响,升级官方补充修复漏洞,补丁下载地址:https://groups.google.com/forum/#!topic/rubyonrails-security/IsQKvDqZdKw
【参考链接】
https://groups.google.com/forum/#!topic/rubyonrails-security/IsQKvDqZdKw
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年6月25日