Arquivos de Setembro 2017

CVE-2017-10784: Vulnerabilidade de injeção de sequência de escape na autenticação Basic de WEBrick

Existe uma vulnerabilidade de injeção de sequência de escape na autenticação Basic do WEBrick empacotado com Ruby. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-10784.

Continuar a Leitura...

CVE-2017-0898: Vulnerabilidade de buffer underrun em Kernel.sprintf

Existe uma vulnerabilidade de buffer underrun no método sprintf do módulo Kernel. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-0898.

Continuar a Leitura...

Lançado Ruby 2.3.5

Ruby 2.3.5 foi lançado.

Continuar a Leitura...

Lançado Ruby 2.2.8

Foi lançado Ruby 2.2.8. Esta versão inclui diversas correções de segurança. Por favor, confira os tópicos abaixo para detalhes.

Continuar a Leitura...

CVE-2017-14064: Vulnerabilidade de exposição de heap no JSON gerado

Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.

Detalhes

O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State. Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.

Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • antes da revisão do tronco 58323

Soluções Alternativas

A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.

Crédito

Agradecimentos a ahmadsherif por reportar este problema.

Histórico

  • Originalmente publicado em 14/09/2017 12:00:00 (UTC)

Continuar a Leitura...

Lançado Ruby 2.4.2

Estamos contentes em anunciar a versão 2.4.2 de Ruby. Esta versão contém algumas correções de segurança.

Continuar a Leitura...

<< Voltar aos arquivos de 2017