linux如何执行rb代码,Redmine git_http_controller.rb任意命令执行漏洞

最新推荐文章于 2023-02-12 10:19:39 发布
最新推荐文章于 2023-02-12 10:19:39 发布
阅读量525 收藏
点赞数
文章标签: linux如何执行rb代码

发布日期:2014-12-31

更新日期:2015-01-05

受影响系统:

Redmine Redmine

描述:

CVE(CAN) ID: CVE-2013-4663

Redmine是用Ruby开发的基于web的项目管理软件,是用ROR框架开发的一套跨平台项目管理系统。

Redmine的redmine_git_hosting插件中,git_http_controller.rb在实现上存在安全漏洞,远程攻击者通过info/refs service参数或file_exists reqfile参数的shell元字符,利用此漏洞可执行任意命令。

*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Nick Blundell ()提供了如下测试方法:

curl -k “https://redmine.demo.com/someproject.git/info/refs?service=git-%60sleep%2010%60″

建议:

厂商补丁:

Redmine

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Redmine 的详细介绍:请点这里

Redmine 的下载地址:请点这里

0b1331709591d260c1c78e86d0c51c18.png

罗心澄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 内核基础--rb_tree使用方法
zagnix的专栏
06-10 2693
1.在你的所要使用的模块中包含头文件#include<linux/rb_tree.h>2.将rb_node嵌入到自己结构体中struct my_data{ struct rb_node node; char key[32]; char value[32] };3.定义rb树的根,一般为全局变量struct rb_root my_root_tree = RB_ROOT;4.实现
Ajax-redmine_issue_dynamic_edit.zip
09-17
Ajax-redmine_issue_dynamic_edit.zip,允许用户从问题详细信息页面动态更新(ajax)问题的属性,而无需任何刷新(类似jira),ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和...
linux如何执行rb代码,Ruby 版的 PinkTrace 示例 pink-fork-linux.rb
weixin_39605578的博客
05-13 428
#!/usr/bin/env ruby# coding: utf-8# vim: set sw=2 sts=2 et fenc=utf-8 :=beginAn example demonstrating the tracing fork=endrequire 'PinkTrace'pid = fork do# Prepare for tracing.PinkTrace::Trace.me# Sto...
我忽然发现我写的cve漏洞管理系统简直就是redmine的一个小模块
分享博主日常学习和使用的一些技术
10-04 1400
当我近乎完工的时候我忽然间明白了,泪流满地,累觉不爱,如果早点遇见你,何必折磨这么多遍呢? 为了搭建这个页面,这个网站,我学写了nginx+uwsgi部署,python + Django + Mysql作为后端, html+boostrap+jquery作为前端,整个技术栈下来耗时2个月左右。。。我实现的CVE漏洞管理页面redmine提供的问题单管理页面
linux离线安装redmine_Centos7安装Nessus 8.5漏洞扫描工具
weixin_39566882的博客
11-20 400
本文适合有简单的Linux系统基础的人员,比如如何远程到Linux上、如何上传文件、文件安装、系统简单配置等操作。一、Nessus简介Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。其特点是1. 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。2. 不同于传统的漏洞扫描软件, Nessus 可同时在本机...
skechup如何运行rb后缀文件
weixin_42593130的博客
02-12 476
SketchUp是一款三维建模软件,如果要运行rb后缀文件,您需要安装Ruby编程语言的运行环境,并且在SketchUp的安装目录中寻找Ruby Console。接下来,您可以在Ruby Console中输入以下命令: load "文件路径/文件名.rb" 这样就可以在SketchUp中运行rb后缀的文件了。注意,请确保rb文件与您的SketchUp版本兼容。 ...
net.sf.redmine_mylyn.feature_0.3.7.201203072118.jar
04-19
net.sf.redmine_mylyn.feature_0.3.7.201203072118.jar
redmine_preview_docx:Redmine插件。 在预览窗格中显示docx附件
04-29
redmine_preview_docx Redmine插件。 在预览窗格中显示docx附件。 用例) 以html格式查看docx文件的内容 安装 安装[pandoc]: ://pandoc.org/installing.html 转到插件文件夹 git clone ...
redmine_git_mirror:增加了克隆和获取远程git存储库以实现Redmine的功能
05-28
主要特征易于安装(只需克隆到redmine plugins文件夹) Webhooks集成(gitlab和自定义) 与启用的自动提取更改集设置以及与其他scm类型混合使用时效果很好自动删除无法访问的提交安装 cd [redmine-root]/..._git...
redmine_git_hosting_dev_env
03-11
Redmine是一款开源的项目管理工具,而Git Hosting则通常指的是使用Git作为版本控制系统来托管代码仓库。这个环境可能包含了设置Redmine以便与Git服务器集成的详细步骤,从而帮助开发者进行协作和版本控制。 描述中...
Ruby中执行Linux shell命令的六种方法详解
01-20
在Ruby中,执行shell命令是一件不奇怪的事情,Ruby提供了大概6种方法供开发者进行实现。这些方法都很简单,本文将具体介绍一下如何在Ruby脚本中进行调用终端命令。 exec exec会将指定的命令替换掉当前进程中的操作,指定命令结束后,进程结束。 代码如下: exec ‘echo “hello world”‘ print ‘abc’ 执行上述的命令,结果如下,我们可以看到没有abc的输出,可以看出来,在执行echo “hello world”命令后进程就结束了。不会继续执行后面的print ‘abc’。 代码如下: ruby testCommand.rb hello world
redmine_didyoumean:Redmine插件,用于在用户要打开新问题时搜索可能的重复项
05-08
你的意思是插件 Redmine插件,用于在用户要打开新问题时搜索可能的重复项。 您可以在项目Wiki上找到更多信息: 安装 按照以下Redmine插件安装步骤进行操作: 确保插件安装目录名称为redmine_didyoumean 重新启动服务器(这将确保将CSS文件和其他资产复制到正确的位置) (可选)通过导航到“管理”>“插件”来配置插件,并在“您要输入的意思?”行中选择“配置”标签。 搜索引擎 默认情况下,插件使用SQL Engine,但是有可用的SphinxSearch Engine。 1.在切换到Think Sphinx之前,应确保已安装SphinxSearch引擎 对于Debian / Ubuntu用户 sudo apt-get install sphinxsearch 插件使用Thinking Sphinx v3.1.1和Sphinx应该是v2.2.4或更高
如何在 Linux 操作系统上编写和执行 Ruby 程序
2023年最新地推相关信息
01-08 575
我想了解如何在 Linux 操作系统上编写和执行ruby 程序的基础知识。你能用一个简单的例子来解释吗? 在本文中,让我们快速了解一下如何在 Linux 或 Unix 操作系统上编写基本的Hello World ruby​​ 程序并执行 *.rb 程序。 1. 编写一个 Hello World Ruby 程序 使用 Vim 编辑器创建 helloworld.rb 程序,如下所示。 ``` ...
Redmine测试
lxm1247983646的专栏
05-05 775
An error occurred while sending mail (getaddrinfo: Temporary failure in name resolution)
redmine-项目管理工具
走南闯北的专栏
11-23 1247
本文出处:http://blog.ossxp.com/2010/01/20/ redmine – 软件项目的催化剂 曾经有这样一位项目成员。 在项目主管的眼中,她既不是一个得力的开发人员,或测试人员,也不是有任何其他特长的人。 但在她就职的这家公司的12年间,凡是她从事过的项目都取得了巨大的成功。她为项目做了什么是不明显的,但是有她在项目总是成功的。 多年后,
Redis未授权访问漏洞的重现与利用
天涯的浪子
10-25 520
前言: 最近配置openvas的时候安装了redis,听说曾经曝出过一个未授权访问漏洞,便找了一下相关资料想自己动手复现一下漏洞的利用过程,当然所有的攻击性操作都是在虚拟机上完成的,本文所有的操作是在Fedora26上进行的,使用的虚拟机为Oracle VM VirtualBox。过程中遇到了不少坑,在此整理一下过程,供像我一样怀有好奇心的小白们学习参考,如有差错还请各位大牛们斧正。  一、漏...
项目管理和缺陷跟踪系统 Redmine
天行健,君子以自强不息;地势坤,君子以厚德载物。
03-26 513
1. Redmine 概述Redmine 是用 Ruby 开发的基于 web 的项目管理软件,是用 ROR 框架开发的一套跨平台项目管理系统,支持多种数据库,有不少自己独特的功能,例如提供 wiki、新闻台等。还可以集成其他版本管理系统和 BUG 跟踪系统;例如 SVN、CVS、TD 等。这种 Web 形式的项目管理系统通过项目(Project)的形式把成员、任务(问题)...
Web安全:文件上传漏洞基本概念及相关实践
qq_37858047的博客
07-28 546
一、介绍 文件上传漏洞是指,用户上传了一个可执行文件脚本,并通过此脚本获取了执行服务器端命令的能力。文件上传漏洞是指,用户上传了一个可执行文件脚本,并通过此脚本获取了执行服务器端命令的能力。 Uploaded files represent a significant risk to applications. The first step in many attacks is to get...
Redmine 项目管理和缺陷跟踪系统
欲望如海水,越喝越渴。
05-13 2435
禅道等研究到了再写! 关于Redmine,官网介绍 Overview - RedmineRedminehttps://www.redmine.org/ 整个界面看起来很清爽,拥有一股浓浓的80年代的程序风…… Redmine安装配置和使用 一、安装 我这边是用的是BitNami,提供redmine的一键安装程序,包含MariaDB+Apache+Redmine+phpMyAdmin Install Redmine, Download Redminehttps://bitnami.com..
redmine5+git
最新发布
05-24
Redmine与Git集成可以提高团队的协作效率和代码质量。 在Redmine中集成Git需要进行以下步骤: 1. 安装Git并配置环境变量; 2. 安装Redmine插件“Redmine Git Hosting Plugin”; 3. 配置Redmine插件“Redmine ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值