发布日期：2013-09-02
更新日期：2013-09-03

受影响系统：

fog-dragonfly fog-dragonfly 0.8.2

描述：

---

BUGTRAQ  ID: 62092
CVE(CAN) ID: CVE-2013-5671

fog-dragonfly是基于Rack的图形处理框架。

fog-dragonfly 0.8.2 没有正确过滤传递到命令行的未转义用户输入，导致在受影响应用上下文中执行shell命令。

<*来源：Larry W. Cashdollar （lwc@vapid.dhs.org）
  
  链接：http://seclists.org/oss-sec/2013/q3/529
*>

建议：

---

厂商补丁：

fog-dragonfly
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://rubygems.org/gems/fog-dragonfly

https://github.com/markevans/dragonfly/commit/ff141bb1d921fff506084b62a562f7a83d5e01fe#lib/dragonfly/image_magick/utils.rb

  https://github.com/markevans/dragonfly/commit/47f95bd6b8af11fb0a44d6ab1c6f7d00d880cb68

浏览次数：3024
严重程度：0（网友投票）