Ruby On Rails ActionPack Inline ERB任意代码执行漏洞

漏洞描述

    Ruby on Rails 是一个开源的 web 开发框架。

    Ruby on Rails 多个版本的 ActionPack 的部件在 Ruby 的内嵌请求处理器存在一个远程执行代码漏洞。该漏洞允许攻击者通过内联 JSON 处理器来处理 ERB ,然后将其渲染,并在运行时允许全部的 RCE,而不记录错误日志。

    攻击者利用该漏洞可以执行任意代码。

解决方案

    1、Ruby On Rails公司已经针对该漏洞发布了安全补丁:http://weblog.rubyonrails.org/2016/2/29/Rails-4-2-5-2-4-1-14-2-3-2-22-2-have-been-released/

    2、深信服防火墙用户请升级入侵防护规则到20170818及其以上版本,可轻松防御针对此漏洞的攻击。