Escrito por usa em 29/08/2017
Traduzido por fpgentil

Existem múltiplas vulnerabilidades no RubyGems, biblioteca do Ruby. Foi reportado no blog oficial do RubyGems. (em inglês)

Detalhes

As seguintes vulnerabilidades foram reportadas.

• vulnerabilidade de redirecionamento de DNS. (CVE-2017-0902)
• vulnerabilidade de código de escape ANSI. (CVE-2017-0899)
• vulnerabilidade de ataque DoS. (CVE-2017-0900)
• vulnerabilidade no instalador de gems que permite uma gem maliciosa sobrescrever arquivos arbitrários. (CVE-2017-0901)

É altamente recomendado para os usuários do Ruby que sigam uma das soluções alternativas o mais rápido possível.

Versões Afetadas

• Série do Ruby 2.2: 2.2.7 e anteriores
• Série do Ruby 2.3: 2.3.4 e anteriores
• Série do Ruby 2.4: 2.4.1 e anteriores
• Anteriores ao trunk revision 59672

Soluções alternativas

Até o momento, não existem releases do Ruby incluindo correções para o RubyGems. Mas você pode atualizar o RubyGems para a última versão. RubyGems 2.6.13 ou versões mais recentes incluem a correção das vulnerabilidades.

gem update --system

Se você não pode atualizar o RubyGems, você pode aplicar os seguintes patches como soluções alternativas.

• para o Ruby 2.2.7
• para o Ruby 2.3.4
• para o Ruby 2.4.1: são necessários 2 patches. Aplique-os sequencialmente:
  1. RubyGems 2.6.11 até 2.6.12
  2. RubyGems 2.6.12 até 2.6.13

Quanto ao trunk, atualize para a última versão.

Créditos

Baseado no relato do blog oficial do RubyGems. (em inglês)

Histórico

• Originalmente publicado em 2017-08-29 12:00:00 UTC
• Adicionado números de vulnerabilidades e exposições comuns (CVE) em 2017-08-31 02:00:00 UTC

Feeds de notícias (RSS)

Em português