1. 首页>
  2. 腾讯云代理

【安全预警】关于Ruby Action View任意文件泄露的漏洞通知

腾讯云 2019年03月29日 浏览209

腾讯云代理 腾讯云直播申请 游戏上云

摘要: 【安全预警】关于Ruby Action View任意文件泄露的漏洞通知

尊敬的腾讯云客户,您好:

       近日,腾讯安全云鼎实验室监测到 Ruby视图处理组件 Action View 被爆存在文件内容泄露漏洞(CVE-2019-5418),攻击者可利用该漏洞获取目标主机上的任意文件内容,包含密码文件等信息。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
   Action Pack 是 Rails 应用的核心,包含三个 Ruby 模块:ActionDispatch、ActionController 和 ActionView,其中 Action Controller 处理请求,得到响应内容,Action View 用于格式化响应内容。
   近日Ruby on rails 的 Action View 组件被爆存在文件内容泄露漏洞,攻击者可构造特定的 Accept 请求头与 render file: 调用结合利用,可导致目标服务器上的任意文件被渲染导致敏感信息泄露。
 
【风险等级】
   高风险
 
【漏洞风险】
   任意文件泄露
 
【影响版本
   Rails 全版本
 
【安全版本】
   Rails 6.0.0.beta3
   Rails 5.2.2.1
   Rails 5.1.6.2
   Rails 5.0.7.2
   Rails 4.2.11.1
 
【修复建议】
    目前官方已发布补丁修复更新,建议您及时进行修复:
    1. 推荐方案:升级 Rails 版本
    2. 缓解方案:强制修改使用了 render file: 调用的代码,指定要渲染的文件格式(formats),避免不必要的文件泄露:
     class UserController < ApplicationController 
         def index 
             render file: "#{Rails.root}/some/file", formats: [:html] 
         end 
     end

 
【漏洞参考】


相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808