Mehrere Sicherheitslücken in RubyGems

Es gibt mehrere Sicherheitslücken in dem in Ruby enthaltenen RubyGems, wie auf dem offiziellen RubyGems-Blog berichtet wird.

Details

Die folgenden Sicherheitslücken wurden entdeckt.

  • Eine Sicherheitslücke, die die DNS-Auflösung betrifft (DNS request hijacking). (CVE-2017-0902)
  • Eine Sicherheitslücke bei der Auflösung von ANSI-Escape-Sequenzen. (CVE-2017-0899)
  • Eine DoS-Schwachstelle im query-Befehl. (CVE-2017-0900)
  • Eine Schwachstelle im Gem-Installer erlaubte einem böswilligen Gem beliebige Dateien zu überschreiben. (CVE-2017-0901)

Alle Ruby-Nutzer sind aufgerufen, so schnell wie möglich zu aktualisieren oder einen der folgenden Workarounds anzuwenden.

Betroffene Versionen

  • 2.2er Serie: 2.2.7 und früher
  • 2.3er Serie: 2.3.4 und früher
  • 2.4er Serie: 2.4.1 und früher
  • Trunk vor Revision 59672

Workarounds

Wenn Sie Ruby selbst nicht aktualisieren können, aktualisieren Sie RubyGems auf die aktuelle Version. Die Sicherheitslücken wurden in RubyGems 2.6.13 und später behoben.

gem update --system

Wenn Sie RubyGems nicht aktualisieren können, können Sie die folgenden Patches als Workaround anwenden.

Trunk-Nutzer aktualisieren auf die neueste Revision.

Danksagung

Diese Meldung basiert auf dem offiziellen RubyGems-Blog.

Historie

  • Erstmals veröffentlicht am 2017-08-29 12:00:00 UTC
  • CVE-Nummern hinzugefügt am 2017-08-31 2:00:00 UTC
  • Hinweis zur Ruby-Aktualisierung am 2017-09-15 12:00:00 UTC