ГлавнаяБаза уязвимостей БДУ → BDU:2016-00815
4.3средняя

BDU:2016-00815

Уязвимость программной платформы Ruby on Rails, позволяющая нарушителю обойти процедуру аутентификации
Опубликовано: 2016-03-31
Описание

Уязвимость метода http_basic_authenticate_with method (actionpack/lib/action_controller/metal/http_authentication.rb) реализации Basic Authentication компонента Action Controller программной платформы Ruby on Rails связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации при помощи измерения разниц во времени

Затрагиваемое ПО и версии
Ruby on Rails (до 3.2.22.1)Ruby on Rails (от 4.0 до 4.1.14.1)Ruby on Rails (от 4.2 до 4.2.5.1)Ruby on Rails (от 5 до 5.0.0.beta1.1)
Способ устранения

Обновление программного средства до версии 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1 или новее

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://groups.google.com/forum/message/raw?msg=ruby-security-ann/ANv0HDHEC3k/T8Hgq-hYEgAJhttp://www.openwall.com/lists/oss-security/2016/01/25/8
Проверьте безопасность своего сайта и почты → Полная проверка домена