发布日期：2013-02-11
更新日期：2013-03-07

受影响系统：

rubygems JSON 1.x

描述：

---

BUGTRAQ  ID: 57899
CVE(CAN) ID: CVE-2013-0269

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。Ruby json Gem是以C语言编写的Ruby扩展，是JSON的实现。

JSON 1.7.7, 1.6.8, 1.5.5之前版本允许远程攻击者造成拒绝服务或绕过“mass assignment protection”机制，通过特制的JSON文档触发构建任意Ruby符号或某些内部对象，远程攻击者可针对Ruby on Rails执行SQL注入攻击。

<*来源：Thomas Hollstegge
  
  链接：http://seclists.org/oss-sec/2013/q1/284
        http://secunia.com/advisories/52075
        http://www.osvdb.org/90074
*>

建议：

---

厂商补丁：

rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://rubygems.org/gems/json
http://seclists.org/oss-sec/2013/q1/att-284/0001-Security-fix-create_additons-JSON-GenericObject.patch

浏览次数：4051
严重程度：0（网友投票）