BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Rails存在安全问题:数月前发现的漏洞正被利用

| 作者 Jeff Martin 关注 17 他的粉丝 ,译者 臧秀涛 关注 4 他的粉丝 发布于 2013年6月2日. 估计阅读时间: 1 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Ruby-On-Rails网站的用户和管理员发现他们正面临着恶意软件的攻击,该攻击利用了今年1月公布的一项Ruby安全漏洞。该漏洞一旦被利用,未打补丁的系统会直接从远程计算机上下载特定代码,编译一份IRC客户端,然后加入特定频道并等待下一步指令。松懈的安全策略暴露了出来,与此同时,这些攻击也尖锐地提醒了我们迅速部署补丁的重要性。

原始的漏洞是通过CVE-2013-0156宣布的,它位于Ruby on Rails的参数处理代码中。正如Aaron Patterson所指出的

Ruby on Rails的参数解析代码存在多个问题,致使攻击者可以绕开认证系统,注入任意SQL,注入并执行任意代码,或是在Rails上执行拒绝服务攻击。

在宣布漏洞的同时,Patterson也描述了如何获取Rails的补丁。然而事隔4个月之后,很多网站看来还没打上补丁,因此仍然容易受到攻击。很多受影响的用户因为系统被感染而表达了他们的失望。安全博主Jeff Jarmoc详细介绍了漏洞是如何被利用的,他还提供了源代码,用以演示被感染的系统是如何运行并通过IRC接收指令的。

如果用户想看一下他们的服务器是否容易受到攻击,可以试一下Tinfoil Security的RailscheckCode Climate Blog解释了原始漏洞的工作原理,并为想了解更多细节的人提供了概念验证。

查看英文原文:Derailed: Hackers Exploit Months Old Rails Flaw

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT