Rack是软件开发者Christian Neukirchen所研发的一个Ruby Web服务器接口,它为Web服务器、Web框架和中间件的API进行了统一,并支持使用单一的方法调用。 Rack 1.5.2之前的1.5.x版本,1.4.5之前的1.4.x版本,1.3.10之前的1.3.x版本,1.2.8之前的1.2.x版本以及1.1.6之前的1.1.x版本中的Rack::Session::Cookie中存在漏洞。通过包含未在常数时间内运行的HMAC比较函数的定时攻击,远程攻击者可利用该漏洞猜测会话cookie,提权,并执行任意代码。
Rack是软件开发者Christian Neukirchen所研发的一个Ruby Web服务器接口,它为Web服务器、Web框架和中间件的API进行了统一,并支持使用单一的方法调用。 Rack 1.5.2之前的1.5.x版本,1.4.5之前的1.4.x版本,1.3.10之前的1.3.x版本,1.2.8之前的1.2.x版本以及1.1.6之前的1.1.x版本中的Rack::Session::Cookie中存在漏洞。通过包含未在常数时间内运行的HMAC比较函数的定时攻击,远程攻击者可利用该漏洞猜测会话cookie,提权,并执行任意代码。