[technique] possible RCE sur chiliproject (CVE-2013-0156)
Bareges Pierre-Guy
pg.bareges at gmail.com
Mer 9 Jan 15:14:45 CET 2013
Hello,
je suis tombé sur ce post de metasploit qui parle d'un bug de
serialization dans le framework Ruby on Rail :
https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156
Toutes les versions sont affectées, un workaround est proposé ici :
https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion
Il n'y a pas encore d'exploit public dans la nature mais au vu des
exemples ce n'est qu'une question d'heures/jours...
Et les bots (roumain/chinois/ovh...) vont bientôt suivre :-)
Bien à vous.
Plus d'informations sur la liste de diffusion technique