製品・ソフトウェアに関する情報
Vulnerability Search
Ruby on Rails のダイジェスト認証における認証を回避される脆弱性
Title Ruby on Rails のダイジェスト認証における認証を回避される脆弱性
Summary

Ruby on Rails のダイジェスト認証の機能の事例コードには、ユーザが存在しない場合の authenticate_or_request_with_http_digest 定義に関して不備があるため、パスワードなしの無効なユーザ名を送信することでアプリケーションの認証を回避される脆弱性が存在します。

Possible impacts 攻撃者により、アプリケーションの認証を回避される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date July 10, 2009, midnight
Registration Date April 16, 2010, 4:57 p.m.
Last Update April 16, 2010, 4:57 p.m.
CVSS2.0 : 危険
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
Affected System
アップル
Apple Mac OS X v10.6 から v10.6.2
Apple Mac OS X Server v10.6 から v10.6.2
Ruby on Rails project
Rails 2.3.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年04月16日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-2422
Summary

The example code for the digest authentication functionality (http_authentication.rb) in Ruby on Rails before 2.3.3 defines an authenticate_or_request_with_http_digest block that returns nil instead of false when the user does not exist, which allows context-dependent attackers to bypass authentication for applications that are derived from this example by sending an invalid username without a password.

Summary

El código de ejemplo para la funcionalidad de autenticación digest (http_authentication.rb) en Ruby on Rails anterior a v2.3.3 define un bloque authenticate_or_request_with_http_digest que devolverá nulo en lugar de falso cuando el usuario no existe, lo cual permite a atacantes dependiendo del contexto eludir la autenticación para aplicaciones que se derivan de este ejemplo mediante el envío de un nombre de usuario no válido sin una contraseña.

Publication Date July 11, 2009, 12:30 a.m.
Registration Date Jan. 29, 2021, 1:20 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:rubyonrails:ruby_on_rails:*:*:*:*:*:*:*:* 2.3.3
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* 10.6.0 10.6.3
cpe:2.3:o:apple:mac_os_x:10.5.8:*:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x_server:*:*:*:*:*:*:*:* 10.6.0 10.6.3
cpe:2.3:o:apple:mac_os_x_server:10.5.8:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List