http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5380

Session fixation vulnerability in Rails before 1.2.4, as used for Ruby on Rails, allows remote attackers to hijack web sessions via unspecified vectors related to "URL-based sessions."

これはお馴染みの問題です。

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5379

Rails before 1.2.4, as used for Ruby on Rails, allows remote attackers and ActiveResource servers to determine the existence of arbitrary files and read arbitrary XML files via the Hash.from_xml (Hash#from_xml) method, which uses XmlSimple (XML::Simple) unsafely, as demonstrated by reading passwords from the Pidgin (Gaim) .purple/accounts.xml file.

これもよくある問題です。

RoRには幾つか脆弱性が報告されているので少なくとも1.2.4にはバージョンアップした方が良いです。


資料來源 http://blog.ohgaki.net/index.php/yohgaki/2007/10/24/ror_cve#comments


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 ivan0914 的頭像
    ivan0914

    I'n Blog 之萬象真藏

    ivan0914 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄