影響版本:

David Heinemeier Hansson Ruby on Rails 2.3.2漏洞描述:

BUGTRAQ  ID: 35579

Ruby on Rails是一個新的Web應用程序框架，構建在Ruby語言之上。

Ruby on Rails的actionpack/lib/action_controller/http_authentication.rb文件中的 validate_digest_response()函數(shù)在處理nil憑據(jù)時存在錯誤，如果沒有找到用戶返回的是nil，而正確的行為是返回 false。遠程攻擊者發(fā)送空的認證憑據(jù)就可以繞過HTTP認證獲得非授權訪問。

<*參考  http://secunia.com/advisories/35702/

http://weblog.rubyonrails.org/2009/6/3/security-problem-with-authenticate_with_http_digest *>

SEBUG安全建議:

廠商補?。?

David Heinemeier Hansson

目前廠商已經(jīng)發(fā)布了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://github.com/rails/rails/commit/1ad57cfe2fbda58439e4b7f84008ad23bc68e8b0

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補丁修復兩個DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補丁緩解風險
3. 360安全衛(wèi)士：打漏洞補丁防止微軟“黑屏”