Publicado por hsbt el 2024-03-21
Traducción de vtamara
Hemos publicado la gema RDoc versiones 6.3.4.1, 6.4.1.1, 6.5.1.1 y 6.6.3.1 que tienen una corrección de seguridad para una vulnerabilidad RCE. A esta vulnerabilidad se le ha asignado el identifiador CVE CVE-2024-27281.
Detalles
Se descubrió un problema en RDoc de 6.3.3 a 6.6.2, tal como se distribuyó con Ruby 3.x hasta 3.3.0.
Cuando se analiza el archivo YAML .rdoc_options (usado para configurar RDoc),
resulta posible una inyección de objetos y la resultante ejecución de
código porque no hay restricciones en las clases que pueden restaurarse.
Cuando se carga el cache de documentación, también resultan viables la inyección de objetos y la posterior ejecución de código remoto si hay un cache modificado.
Acción recomendada
Recomendamos actualizar la gema RDoc a la versiónn 6.6.3.1 o posterior. Para asegurar compatibilidad con la versión incluida en series de Ruby anteriores, en lugar de eso puede actualizar como se indica a continuación:
- Para usuarios de Ruby 3.0: Actualizar a
rdoc6.3.4.1 - Para usuarios de Ruby 3.1: Actualizar a
rdoc6.4.1.1 - Para usuarios de Ruby 3.2: Actualizar a
rdoc6.5.1.1
Puede usar gem update rdoc para actualizar. Si está usando
bundler, por favor agregue gem "rdoc", ">= 6.6.3.1" a su archivo Gemfile.
Nota: Las versiones 6.3.4, 6.4.1, 6.5.1 y 6.6.3 tienen un arreglo errado. En lugar de esas, recomendamos actualizar a 6.3.4.1, 6.4.1.1, 6.5.1.1 y 6.6.3.1.
Versiones afectadas
- Ruby 3.0.6 y anteriores
- Ruby 3.1.4 y anteriores
-
Ruby 3.2.3 y anteriores
- Ruby 3.3.0
- Gemas RDoc 6.3.3 y anteriores , 6.4.0 hasta 6.6.2 sin las versiones parchadas (6.3.4, 6.4.1, 6.5.1)
Creditos
Agradecemos a ooooooo_q por descubrir este problema.
Historia
- Publicado originalmente el 2024-03-21 4:00:00 (UTC)