发布日期：2014-07-02
更新日期：2014-07-03

受影响系统：

Ruby on Rails Ruby on Rails < 3.2.19
Ruby on Rails Ruby on Rails 2.x
Ruby on Rails Ruby on Rails

描述：

---

BUGTRAQ  ID: 68343
CVE(CAN) ID: CVE-2014-3482

Ruby on Rails简称RoR或Rails，是一个使用Ruby语言写的开源Web应用框架，它是严格按照MVC结构开发的。

Ruby on Rails 2.x版本、3.2.19之前的3.x版本中，PostgreSQL adapter for Active Record内的activerecord/lib/active_record/connection_adapters/postgresql_adapter.rb存在SQL注入漏洞，远程攻击者通过错误的比特串引用，利用此漏洞执行任意SQL命令。

<*来源：Sean Griffin
  *>

建议：

---

厂商补丁：

Ruby on Rails
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.rubyonrails.com/

参考：
http://openwall.com/lists/oss-security/2014/07/02/5
https://groups.google.com/forum/message/raw?msg=rubyonrails-security/wDxePLJGZdI/WP7EasCJTA4J

浏览次数：2739
严重程度：0（网友投票）