Ruby Phusion Passenger Gem不安全临时文件创建漏洞

admin

0
文章

0
评论

2023-12-07 10:03:15 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Ruby Phusion Passenger Gem不安全临时文件创建漏洞

CVE编号

CVE-2013-2119

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-01-04

漏洞描述

Phusion Passenger是一个用于部署Ruby web应用程序的Apache和Nginx模块。 Ruby Phusion Passenger Gem应用程序在Nginx配置设置下不安全创建临时文件，允许本地攻击者利用漏洞通过符号链接攻击，阻止nginx启动或执行任意代码。

解决建议

Phusion Passenger gem for Ruby 4.0.5或3.0.21已经修复此漏洞，建议用户下载更新：http://blog.phusion.nl/2013/05/29/phusion-passenger-4-0-5-released/

参考链接
http://blog.phusion.nl/2013/05/29/phusion-passenger-3-0-21-released/
http://blog.phusion.nl/2013/05/29/phusion-passenger-4-0-5-released/
http://rhn.redhat.com/errata/RHSA-2013-1136.html
https://bugzilla.redhat.com/show_bug.cgi?id=892813

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	phusion	passenger	*		Up to (including) 3.0.20
	运行在以下环境
	应用	phusion	passenger	3.0.0	-
	运行在以下环境
	应用	phusion	passenger	3.0.1	-
	运行在以下环境
	应用	phusion	passenger	3.0.10	-
	运行在以下环境
	应用	phusion	passenger	3.0.11	-
	运行在以下环境
	应用	phusion	passenger	3.0.12	-
	运行在以下环境
	应用	phusion	passenger	3.0.13	-
	运行在以下环境
	应用	phusion	passenger	3.0.14	-
	运行在以下环境
	应用	phusion	passenger	3.0.15	-
	运行在以下环境
	应用	phusion	passenger	3.0.17	-
	运行在以下环境
	应用	phusion	passenger	3.0.18	-
	运行在以下环境
	应用	phusion	passenger	3.0.19	-
	运行在以下环境
	应用	phusion	passenger	3.0.2	-
	运行在以下环境
	应用	phusion	passenger	3.0.3	-
	运行在以下环境
	应用	phusion	passenger	3.0.4	-
	运行在以下环境
	应用	phusion	passenger	3.0.5	-
	运行在以下环境
	应用	phusion	passenger	3.0.6	-
	运行在以下环境
	应用	phusion	passenger	3.0.7	-
	运行在以下环境
	应用	phusion	passenger	3.0.8	-
	运行在以下环境
	应用	phusion	passenger	3.0.9	-
	运行在以下环境
	应用	phusion	passenger	4.0.1	-
	运行在以下环境
	应用	phusion	passenger	4.0.2	-
	运行在以下环境
	应用	phusion	passenger	4.0.3	-
	运行在以下环境
	应用	phusion	passenger	4.0.4	-
	运行在以下环境
	应用	redhat	openshift	1.0	-
	运行在以下环境
	应用	ruby-lang	ruby	*	-
	运行在以下环境
	系统	fedora_EPEL_6	rubygem-passenger-debuginfo	*		Up to (excluding) 3.0.21-3.el6
	运行在以下环境
	系统	ubuntu_14.04.6_lts	ruby-passenger	*		Up to (excluding) 4.0.37-2