製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby 用 extlib gem におけるオブジェクトインジェクション攻撃を実行される脆弱性

Title	Ruby 用 extlib gem におけるオブジェクトインジェクション攻撃を実行される脆弱性
Summary	Ruby 用 extlib gem は、文字列の値のキャストを適切に制限しないため、オブジェクトインジェクション攻撃を実行される、任意のコードを実行される、またはサービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる脆弱性が存在します。本脆弱性は、CVE-2013-0156 と類似する脆弱性です。
Possible impacts	第三者により、(1) YAML 型変換、または (2) Symbol 型変換に対する Action Pack サポートを利用されることで、オブジェクトインジェクション攻撃を実行される、任意のコードを実行される、またはサービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 14, 2013, midnight
Registration Date	April 11, 2013, 7:41 p.m.
Last Update	April 11, 2013, 7:41 p.m.

Affected System

Dan Kubb

extlib 0.9.15 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-1802	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1802
National Vulnerability Database (NVD)
2	CVE-2013-1802	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1802

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
GitHub
1	Compare View	https://github.com/datamapper/extlib/compare/b4f98174ec35ac96f76a08d5624fad05d22879b5...4540e7102b803624cc2eade4bb8aaaa934fc31c5
opensuse-security-announce
2	SUSE-SU-2013:0612	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00002.html
Red Hat Bugzilla
3	Bug 917233	https://bugzilla.redhat.com/show_bug.cgi?id=917233
RubyGems
4	extlib	https://rubygems.org/gems/extlib/

その他

No	Name	URL
関連文書
1	January 14, 2013: Security vulnerabilities: httparty, extlib, crack, nori: Update these gems immediately	https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

Change Log

No	Changed Details	Date of change
0	[2013年04月11日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-1802

Summary	The extlib gem 0.9.15 and earlier for Ruby does not properly restrict casts of string values, which might allow remote attackers to conduct object-injection attacks and execute arbitrary code, or cause a denial of service (memory and CPU consumption) by leveraging Action Pack support for (1) YAML type conversion or (2) Symbol type conversion, a similar vulnerability to CVE-2013-0156.
Publication Date	April 10, 2013, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:37 p.m.
Last Update	Nov. 21, 2024, 10:50 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00002.html
2	http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00002.html
3	https://bugzilla.redhat.com/show_bug.cgi?id=917233
4	https://bugzilla.redhat.com/show_bug.cgi?id=917233
5	https://github.com/datamapper/extlib/compare/b4f98174ec35ac96f76a08d5624fad05d22879b5...4540e7102b803624cc2eade4bb8aaaa934fc31c5	Exploit Patch
6	https://github.com/datamapper/extlib/compare/b4f98174ec35ac96f76a08d5624fad05d22879b5...4540e7102b803624cc2eade4bb8aaaa934fc31c5	Exploit Patch
7	https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately
8	https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html