GMTC全球大前端技术大会(北京站)门票9折特惠截至本周五,点击立减¥480 了解详情
写点什么

Rails 存在安全问题:数月前发现的漏洞正被利用

2013 年 6 月 01 日

Ruby-On-Rails 网站的用户和管理员发现他们正面临着恶意软件的攻击,该攻击利用了今年 1 月公布的一项 Ruby 安全漏洞。该漏洞一旦被利用,未打补丁的系统会直接从远程计算机上下载特定代码,编译一份 IRC 客户端,然后加入特定频道并等待下一步指令。松懈的安全策略暴露了出来,与此同时,这些攻击也尖锐地提醒了我们迅速部署补丁的重要性。

原始的漏洞是通过 CVE-2013-0156 宣布的,它位于 Ruby on Rails 的参数处理代码中。正如 Aaron Patterson 所指出的

Ruby on Rails 的参数解析代码存在多个问题,致使攻击者可以绕开认证系统,注入任意 SQL,注入并执行任意代码,或是在 Rails 上执行拒绝服务攻击。

在宣布漏洞的同时,Patterson 也描述了如何获取 Rails 的补丁。然而事隔 4 个月之后,很多网站看来还没打上补丁,因此仍然容易受到攻击。很多受影响的用户因为系统被感染而表达了他们的失望。安全博主Jeff Jarmoc详细介绍了漏洞是如何被利用的,他还提供了源代码,用以演示被感染的系统是如何运行并通过IRC 接收指令的。

如果用户想看一下他们的服务器是否容易受到攻击,可以试一下Tinfoil Security 的 Railscheck Code Climate Blog 解释了原始漏洞的工作原理,并为想了解更多细节的人提供了概念验证。

查看英文原文: Derailed: Hackers Exploit Months Old Rails Flaw

2013 年 6 月 01 日 09:40823
用户头像
臧秀涛 略懂技术的运营同学。

发布了 300 篇内容, 共 116.6 次阅读, 收获喜欢 25 次。

关注

评论

发布
暂无评论
发现更多内容

架构师0期04周命题作业

我在终点等你

javascript 部分数据类型的用法

Isuodut

「NIO系列」——之Reactor模型

小谈

Spring Boot reactor 后端 nio SpringCloud

被“假”老干妈耍惨了?憨憨腾讯花1624万卖萌,引全网吃瓜!

程序员生活志

腾讯 互联网 大厂

Google官方MVP+Dagger2架构详解

小吴选手

架构 架构师 架构是训练营

如果是你,年薪80万和阿里P7月薪36K,会怎么选?

犬来八荒

Java 腾讯 面试 阿里 java面试

系统架构:学习小结

Tech Guy

极客大学架构师训练营

让你秒懂Spring中Mybatis的花样配置

小谈

Java spring Spring Cloud mybatis Java 面试

week 04 作业

Safufu

week 04 总结

Safufu

分布式系统架构学习总结(第四周)

~就这样~

如何写好一封邮件?

石云升

职场 职场成长 邮件

终于有大佬把TCP/IP协议讲清楚了!面试再也不怂面试官提问了

小闫

jdk JVM Netty buffer TCP/IP

如何构建你自己的 JVM (2) HelloWorld

孤星可

Java JVM 深入理解JVM

架构师0期04周总结

我在终点等你

从 0 到 1 搭建技术中台之推送平台实践:高吞吐、低延迟、多业务隔离的设计与实现

伴鱼技术团队

kafka 缓存 分布式架构 消息推送 push

七月份最新“美团+字节+腾讯”面试题,测试一下你能走到哪一面?

犬来八荒

Java 面试 java面试 大厂面试 线程’

Week4总结

王志祥

极客大学架构师训练营

这20道微服务面试题要是不会,offer就与你无缘

犬来八荒

Java 架构 微服务 面试题 Java 面试

Linux 性能优化实战 笔记-IO篇

程序员老王

极客大学架构师训练营 系统架构 第8课 听课总结

John(易筋)

极客时间 系统架构 极客大学 极客大学架构师训练营 系统架构演化

到底什么是HashMap?

小闫

Java spring 后端 JVM hashmap

面试官:十亿级数据ES搜索怎么优化?我直接傻了

犬来八荒

Java 面试 大厂

原创 | TDD工具集:JUnit、AssertJ和Mockito (二十四)编写测试-内建扩展

编程道与术

Java 编程 TDD 单元测试 JUnit

计算机操作系统基础(九)---存储管理之段页式存储管理

书旅

php laravel 线程 操作系统 进程

Java 面试必考的 6 个技能,都在这了

架构大数据双料架构师

使用 Flutter 快速实现请假与写周报应用

LeanCloud

flutter 数据 教程 后端开发

年薪百万架构师推荐的888页Java王者级核心宝典,offer直接来

无予且行

攻克SpringBoot底层源码后,才发现开发原来这么香

无予且行

Java spring Spring Boot 开发 Java 面试

游戏夜读 | 关卡设计新手必看

game1night

基于 Flagger 和 Nginx-Ingress 实现金丝雀发布

郭旭东

Kubernetes CI/CD

Rails存在安全问题:数月前发现的漏洞正被利用-InfoQ