CVE-2017-17405: Vulnerabilidad de inyección de ordenes en Net::FTP
Publicado por nagachika el 2017-12-14
Traducción de vtamara
Hay una vulnerabilidad de inyección de ordenes en el Net::FTP incluido en Ruby. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2017-17405.
Detalles
Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, y
puttextfile usan Kernel#open para abrir archivos locales. Si el argumento
localfile comienza con el caracter tubería "|", la orden que sigue al caracter
tubería se ejecuta. El valor por omisión de localfile es
File.basename(remotefile), así que un servidor FTP malicioso podría causar
la ejecución arbitraría de una orden.
Todos los usuarios que corren la versión afectada deben actualizar de inmediato.
Versiones afectadas
- Serie Ruby 2.2: 2.2.8 y anteriores
- Serie Ruby 2.3: 2.3.5 y anteriores
- Serie Ruby 2.4: 2.4.2 y anteriores
- Serie Ruby 2.5: 2.5.0-preview1
- anteriores a la versión trunk r61242
Credito
Gracias a Etienne Stalmans del equipo de seguridad del proyecto Heroku por reportar el problema.
Historia
- Publicado originalmente en inglés el 2017-12-14 16:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23