Zahlreiche Schwachstellen in RubyGems

In RubyGems ist eine Anzahl von Schwachstellen gefunden worden, wie auf dem offiziellen RubyGems-Blog beschrieben wird.

Details

Die folgenden Sicherheitslücken wurden behoben.

  • Verhinderung von Pfadverfolgung (path traversal) bei Schreibzugriff auf ein per Symlink verlinktes basedir außerhalb des Wurzelverzeichnisses.
  • Möglicherweise unsichere Objektdeserialisierung in gem owner behoben.
  • Oktalfelder in Tar-Kopfzeilen werden jetzt streng beachtet.
  • Werfe einen Sicherheitsfehler, wenn in einem Paket Dateien mehrfach vorkommen.
  • Erzwinge URL-Validierung im Homepage-Attribut der Spec
  • XSS-Schwachstelle im Homepage-Attribut behoben, wenn es von gem server angezeigt wird.
  • Verhinderung von Pfadverfolgung während der Gem-Installation.

Es wird nachdrücklich empfohlen, so schnell wie möglich einen der folgenden Workarounds anzuwenden.

Betroffene Versionen

  • Ruby 2.2er-Serie: 2.2.9 und früher
  • Ruby 2.3er-Serie: 2.3.6 und früher
  • Ruby 2.4er-Serie: 2.4.3 und früher
  • Ruby 2.5er-Serie: 2.5.0 und früher
  • Trunk vor Revision 62422

Workarounds

Die Probleme wurden in RubyGems 2.7.6 behoben, weshalb eine Aktualisierung von RubyGems auf die neueste Version Abhilfe schafft.

gem update --system

Wenn Sie RubyGems nicht aktualisieren können, wenden Sie die folgenden Patches als Workaround an.

Trunk-Nutzer aktualisieren auf die neueste Revision.

Danksagung

Dieser Bericht basiert auf dem offiziellen RubyGems-Blogpost.

Historie

  • Erstmals veröffentlicht: 2018-02-17 03:00:00 UTC