近日,唯嘉利亚云监测到 Ruby视图处理组件 Action View 被爆存在文件内容泄露漏洞(CVE-2019-5418),攻击者可利用该漏洞获取目标主机上的任意文件内容,包含密码文件等信息

为避免您的业务受影响,唯嘉利亚云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
Action Pack 是 Rails 应用的核心,包含三个 Ruby 模块:ActionDispatch、ActionController 和 ActionView,其中 Action Controller 处理请求,得到响应内容,Action View 用于格式化响应内容。
近日Ruby on rails 的 Action View 组件被爆存在文件内容泄露漏洞,攻击者可构造特定的 Accept 请求头与 render file: 调用结合利用,可导致目标服务器上的任意文件被渲染导致敏感信息泄露。

【风险等级】
高风险

【漏洞风险】
任意文件泄露

【影响版本】
Rails 全版本

【安全版本】
Rails 6.0.0.beta3
Rails 5.2.2.1
Rails 5.1.6.2
Rails 5.0.7.2
Rails 4.2.11.1

【修复建议】
目前官方已发布补丁修复更新,建议您及时进行修复:
1. 推荐方案:升级 Rails 版本
2. 缓解方案:强制修改使用了 render file: 调用的代码,指定要渲染的文件格式(formats),避免不必要的文件泄露:
class UserController < ApplicationController
def index
render file: “#{Rails.root}/some/file”, formats: [:html]
end
end

【漏洞参考】
1)漏洞公告:https://groups.google.com/forum/#!msg/rubyonrails-security/pFRKI96Sm8Q/IhpRq9D2CgAJ
2)漏洞细节:https://chybeta.github.io/2019/03/16/Analysis-for%E3%80%90CVE-2019-5418%E3%80%91File-Content-Disclosure-on-Rails/