Ruby on Rails跨站脚本执行漏洞(CVE-2013-6416)

有木有啊 2013-12-05

发布日期:2013-12-03
更新日期:2013-12-05

受影响系统:
Ruby on Rails Ruby on Rails 4.0.x
Ruby on Rails Ruby on Rails 3.2.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 64071
CVE(CAN) ID: CVE-2013-6416

Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。

Ruby on Rails 4.0.0、4.0.1的simple_format帮助程序没有正确过滤某些用户输入,在实现上存在安全漏洞,成功利用后可使攻击者在受影响站点上下文中执行任意脚本代码。

<*来源:Kevin Reintjes
 
  链接:http://secunia.com/advisories/55864/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Ruby on Rails
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.rubyonrails.com/
http://www.openwall.com/lists/oss-security/2013/12/03/10
http://www.openwall.com/lists/oss-security/2013/12/03/9
http://www.openwall.com/lists/oss-security/2013/12/03/11
http://www.openwall.com/lists/oss-security/2013/12/03/13

相关阅读

有木有啊

有木有啊

相关推荐

专攻难题:Rails、MVC及最常用的Rails命令

在使用Ruby编写web应用程序时,创始人David HeinemeierHansson说,他只不过是将以往应用程序的通用部分复制粘贴到新程序中。使用Rails可以专注解决困难部分,消减重复性工作。Rails命令十分神奇,但我们必须了解每个命令的功能和编写

wl00 / 0评论 2020-10-28

Rails 使用云片和 China sms 发送验证信息

rails 6,云片,china_sms,需要实现短信验证和语音验证。gem ‘china_sms‘, github: ‘saberma/china_sms‘, branch: ‘master‘。我们需要个模型来存储验证码、手机号、验证次数等等信息,模型如

EricNet / 0评论 2020-07-05

Rails 返回 json

在写代码过程中,经常用到 ajax,那么我们也可能会返回 json 数据:。# 刷新通过 ajax 调用方法的当前页面

mrice00 / 0评论 2020-07-05

Ruby on Rails 单元测试

软件开发中,一个重要的环节就是编写测试文件,对代码进行单元测试,确保程序各部分功能执行正确。但是,这一环节很容易被我们轻视,认为进行单元测试的必要性不大,最主要的一个原因是需要耗费大量时间。显然,这种观点是很浅显的,Michael Hartl 在他的《Ru

EricNet / 0评论 2020-05-27

ubuntu 16.04 i386 安装 ruby + bundler + rails ; 搭建简单的网站bitbar

sudo apt-get install git-core zlib1g-dev build-essential libssl-dev libreadline-dev libyaml-dev libsqlite3-dev sqlite3 libxml2-d

何志文 / 0评论 2020-05-11

Redmine4.x安装及使用心得分享

Redmine是基于ruby语言的开源版的 jira +?Confluence,主要适用于中小团队。目前因内部需要做问题跟踪,新装了一套,这里记录下安装步骤。关于是否使用官方推荐的第三方一键部署:个人不建议使用,一键部署无法自定义目录规划,且一键安装的程序

JOO / 0评论 2020-04-26

centos7安装gitlab

安装 yum install -y curl policycoreutils openssh-server openssh-clients postfix systemctl start postfix. gitlab_rails[‘smtp_passwo

happyfreeangel / 0评论 2020-04-09

Docker-compose部署gitlab中文版

安装 docker并设置加速器。#添加软件源信息。#如果上步操作报错,内容如下:。#开启并查看Docker服务。#重置docker后台进程并重启docker服务。#下载Docker-compose二进制文件。#创建 gitlab 的 docker-comp

Poisedflw / 0评论 2020-03-23

Docker部署GitLab

自行搜索如何安装docker,尽量按照较新版本的docker. # 打开挂载的配置目录。# 添加外部请求的域名。# 修改gitlab对应的时区。--publish 暴露了容器的三个端口, 分别是https对应的443, http对应80以及ssh对应的22

yangliuhbhd / 0评论 2020-03-06

rails devise gem使用

最近一直在学习rails,学习了有大约一个月的时间了,前段时间看GEM的使用教程总是很费劲,最近自己静下心来,专心学习了一下GEM的使用,下面就介绍一下devise这个gem的使用。

Ben的程序员生涯 / 0评论 2013-06-01

rails常用命令

数据库迁移部分:。rake db:create 依照目前的 RAILS_ENV 環境建立資料庫。rake db:rollback STEP=n 回復上N個 Migration 動作。rake db:migrate:up VERSION=2008090612

chenshuixian / 0评论 2013-06-01

upload file with carrierwave in rails

1.gem carrierwave

AllenYoung / 0评论 2014-07-04

Rails 4.1.1问题记录

execjs跟Win8有点兼容性的问题。execjs 现在默认使用Windows自带的CScript,但是Win8下CScript 默认接受js编码是UTF-8, 而之前的CScript接受的是ASCII/GBK, 或者用//U参数后接受UTF-8,解决方

wes0 / 0评论 2014-05-31

gitlab配置邮箱服务

当需要进行 账号注册,创建项目,或合并分支等操作时,可通过邮件通知、邮件验证的方式实现。gitlab_rails['gitlab_email_from'] = '发件箱名.163.com'. DOCTYPE html PUBLIC "-//W3C

mrice00 / 0评论 2019-12-20

Gitlab(Docker)中批量添加用户及邮件配置

gitlab页面可以添加用户,但是无法批量添加。在User Setting--Access Tokens中添加token:. 由于gitlab的容器镜像未安装sendmail,所以需要安装后才能发送邮件Dockerfile如下:。gitlab_rails[

EricNet / 0评论 2019-12-11

RubyMine 2019汉化版 JetBrains集成开发工具2019.3.1 MacOS

JetBrAIns RubyMine 2019 for Mac能更好地理解和导航项目和RAIls的代码库,并且改进编辑和Code Insight功能,主要包括定义,查找用法,代码完成,以及其他操作的准确性和速度。得益于对Ruby和RAIls,JavaScr

89304896 / 0评论 2019-12-08

Ubuntu上rvm + rails安装

sudo apt-get install build-essential openssl libreadline6 libreadline6-dev curl git-core zlib1g zlib1g-dev libssl-dev libyaml-de

lihaoningxia / 0评论 2013-07-09

Rails test

ruby on rails. ruby off rails

jizhename / 0评论 2013-09-03

ubuntu14.10 rails env

sudo apt-get install virtualbox-guest-dkms. sudo apt-get install curl. \curl -sSL https://get.rvm.io | bash. sudo apt-get instal

userguanguan / 0评论 2015-03-16

Ubuntu 10.04 下Rails环境构建

sudo apt-get install ruby build-essential libopenssl-ruby ruby1.8-dev irb rdoc libssl-dev libreadline5-dev zlib1g-dev. 拷贝文件:sudo

Ben的程序员生涯 / 0评论 2010-07-22

gitlab仓库

http方式、ssh方式?尝试修改dev分支内容,测试提交。

happyfreeangel / 0评论 2019-11-12

Ruby on Rails事物嵌套具体方法应用解析

上面的代码即实现了rails中的transaction,可见ActiveRecord是不支持Ruby on Rails事物嵌套的。如果模型使用的是相同的数据库, 那么用 ModelA.transaction 或 ModelB.transaction的作用是

龙浩然 / 0评论 2014-06-03

Linux服务器上配置Nginx + Mongrel cluster步骤

Nginx不仅是一个小巧且高效的HTTP服务器,也可以做一个高效的负载均衡反向代理,通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。下面介绍一下如何在一台Linux服务器上配置Nginx + Mongrel clus

zhangwentaohh / 0评论 2008-03-28

Ubuntu中安装开源项目管理软件Redmine

最近想在我的机器上配置一个 Trac 来管理我自己的小项目,尝试结果却令人失望,Trac 本身依赖无数的 Python 库不说,还非得要过时的 Python 2.4,而我的 Ubuntu Gutsy 默认安装的是 Python2.5,装两个 python

踩风火轮的乌龟 / 0评论 2008-03-22

Ubuntu下构建Ruby平台

以下进行的都是在Ubuntu环境中!1 安装RadRails IDE,需要java支持,请先安装好jdk,这里就不罗嗦了。-Comment=Integrated development environment for the Ruby on Rails f

yohunl / 0评论 2008-01-11

轻松架构apache+mongrel+rails+linux服务器

apt-get install irb libdbm-ruby1.8 libgdbm-ruby1.8 libmysql-ruby1.8 libmysqlclient14 libopenssl-ruby1.8 libruby1.8-dbg mysql-com

江城守望者 / 0评论 2007-05-28

基于计算值对 Rails 资源进行排序

我最近去了一个移动支付黑客马拉松,并与我Flock的co-founder一起工作了reminder app。您输入项目的名称和到期日期。然后,该应用程序会显示您需要多长时间才能完成基于Clear启发的绿色到红色光谱的给定任务。它包含一个具有2个属性的Rem

jieren / 0评论 2019-11-04

gitlab 邮件设置

视屏里面说的 126的 邮箱限制少点。参考视屏 jenkins+gitlab+插件\1\7 最后的一点部分。gitlab_rails[‘gitlab_email_from‘] = ‘‘ # 本人的邮件。gitlab_r

zhangbafu / 0评论 2019-11-01

gitlab 安装和配置

1. 安装Gitlab服务所需的依赖包yum install -y curl postfix policycoreutils-python openssh-server wget

蒜蓉粉丝蒸扇贝 / 0评论 2019-11-01

Linux/Unix平台上搭建Nginx+Mongrel Cluster实现Rails高负载应用

本文讲述如何在Linux/Unix平台上面搭建Nginx+Mongrel Cluster实现Rails高负载的应用。不需要安装它,只是编译nginx时需要用到而已。

wangyongwyk / 0评论 2011-09-04

CentOS Linux 环境 Rails 和 Redmine 安装记录

最近安装Redmine需要安装 Rails下,在CentOS Linux 5.3下 Rails的安装过程记录如下。# yum install httpd \httpd-devel \openssl-devel \zlib-devel \mysql-serv

wangyongwyk / 0评论 2011-07-31

Ruby On Rails with Ajax

Ajax 即 Asynchronous JavaScript XML,重新定义了基本的浏览器使用模型。原模型一次呈现一个页面。Ajax 允许浏览器在页面更新的间隔同服务器进行交流。这样做的好处是带来更加丰富的客户体验。Ajax 是这样运行的:使用 Java

wujiajax / 0评论 2011-07-22

一个使用Ruby on Rails开发LBS网站的简单实例

但是对于我这个RoR的初学者来说,毕竟太复杂了。因此本文试图简化原来的设计思路,抛弃一切权限管理,仅仅对数据表中的坐标位置进行插入和更新。也就是,使用表单提交用户坐标位置信息,地图页面定时刷新获取这些信息并显示在地图上。通过这个例子,来熟悉RoR的编程,熟

samllQ的备忘录 / 0评论 2011-07-22

Ubuntu Server 10.04 + RoR安装memo

首先下载Ubuntu Server 10.04的光盘镜像,不到700M。服务安装只选了LAMP Server。安装后的第一件事就是配置sshd-server。Ubuntu Server默认没有装sshd-server,所以需要手动安装。修改IP地址为固定I

EricNet / 0评论 2010-08-01

Debian中ruby on rails运行环境的搭建

很久之前的笔记了,现在整理出来, 这里采用的是Apache + Mongrel Cluster, 其实shitou个人还是喜欢Lighttpd + FastCGI搭配的说,因为其他原因只能现在跑这样的环境啦- -||. #apt-get install g

冰禹 / 0评论 2009-07-20

使用Docker快速部署Gitlab的方法

注意以上的xxxx@163.com代表用户名,即邮箱地址,而xxxxpassword不是邮箱的登陆密码而是网易邮箱的客户端授权密码, 再网易邮箱web页面的设置-POP3/SMTP/IMAP-客户端授权密码查看。这个必须配置,否则默认以容器的主机名作为UR

xsg / 0评论 2019-08-15

rake是什么与rake命令简介

Rake是用Ruby写的,它支持它自己的DSL用来处理和维护 Ruby应用程序。Rails用rake的扩展来完成多种不同的任务。下面的一些在Rails用的最多的Rake任务。可以通过在你的rails程序的根目录运行rake -T得到一个完整的任务列表。Ra

benjaminlee / 0评论 2014-05-30

Rails form_tag的remote参数说明

在remote为true时,rails会以ajax的方式提交表单,实现无刷新。可是当form中含有fileupload的时候,remote就会失去作用,rails还是会以传统form的方式刷新页面。据说这个gem可以有效解决这个问题。

shumark / 0评论 2014-07-07

Ruby, Rails安装

RVM 是干什么的这里就不解释了,后面你将会慢慢搞明白。期间可能会问你sudo管理员密码,以及自动通过homebrew安装依赖包,等待一段时间后就可以成功安装好 RVM。rvm 1.22.17 by Wayne E. Seguin <waynees

huangxiaoke000 / 0评论 2015-04-13

安装ruby,和Rails的运行环境

对于新入门的开发者,如何安装 Ruby, Ruby Gems 和 Rails 的运行环境可能会是个问题,本页主要介绍如何用一条靠谱的路子快速安装 Ruby 开发环境。次安装方法同样适用于产品环境!强烈新手使用 Ubuntu 省掉不必要的麻烦!RVM 是干什

KEN / 0评论 2015-04-11

常用命令集锦

bundle exec rake assets:precompile RAILS_ENV=production 编译项目命令

重文技艺山海经 / 0评论 2015-04-07

rails respon_to

format.html # do nothing, allow Rails to render index.rhtml. format.js # do nothing, allow Rails to render index.rjs. 我们以index方法

Xunzi / 0评论 2015-04-07

自己写的rails登录界面

if password.present?redirect_to root_url, :notice => "Signed up!". user = User.authenticate(params[:email], params[

Prewen / 0评论 2015-04-07

rails 富文本编辑器

注意: rails_kindeditor ~> v0.3.0 仅支持Rails3.1+!当然,包括Rails3.1和Rails3.2. 如果你使用rails3.0.x,请使用rails_kindeditor v0.2.8. # or <%= k

lihaoningxia / 0评论 2015-04-07

ruby小概念 须知

Ruby,一种为简单快捷的面向对象编程而创的脚本语言,在20世纪90年代由日本人松本行弘开发,遵守GPL协议和Ruby License。它的灵感与特性来自于 Perl、Smalltalk、Eiffel、Ada以及 Lisp 语言。Ruby的作者于1993年

Xunzi / 0评论 2015-04-06

[Rails]一行代码完成自定义JSON格式数据

在Rails3中,增加JSON格式数据输出非常方便,只需在Controller中稍作修改即可。一种做法是在controller的开始处添加respond_to :json,然后使用respond_with响应请求。某些情况下我们需要改变JSON输出格式,比

daociyiyou / 0评论 2012-01-06

will_paginate 相当好用的rails分页工具

是不是非常简单方便?如果安装gem包时感觉很慢,可以切换成淘宝源,提高安装速度。这样就很方便快捷了

龙浩然 / 0评论 2015-05-17

学习自用

从rubyforge网站下载One-Click Ruby Install,运行安装程序,就安装好了ruby和rubygems。mongrel_rails service::install -N depot -c d:\Rubyproject\depot -

jackyzhuyuanlu / 0评论 2015-11-17

学习ruby on rails 前的环境配置

学习ruby on rails 前的环境配置,这里我选择的是用rvm安装ruby。rvm 全称Ruby Version Manager,这是一个非常好用的ruby版本管理以及安装命令行工具

KEN / 0评论 2016-12-05

GitHub 宣布已经顺利升级到 Rails 6.0

GitHub 宣布它顺利升级到了 Rails 6.0。GitHub 平台是用 Rails 构建的,而 Rails 也是最早托管在 GitHub 上大型开源项目之一。GitHub 称他们的开发者与上游紧密合作,参与了新版本的开发。

sevenrad / 0评论 2019-09-10