CVE-2017-17405: Уязвимость типа командная инъекция в Net::FTP

Опубликовал nagachika 14-12-2017
Перевел: badalloff

Обнаружена уязвимость типа командная инъекция в Net::FTP связанная с Ruby. Это атака, где целью является выполнение произвольных команд в операционной системе сервера через уязвимое приложение. Этой уязвимости назначен идентификатор CVE-2017-17405.

Детали

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, и puttextfile используют Kernel#open что бы открыть локальный файл. Если аргумент localfile начинается с символа конвейеризации "|", команда следующая за символом конвейеризации будет выполнена. Для localfile значением по умолчанию является File.basename(remotefile), поэтому вредоносные FTP-серверы могут вызвать произвольное выполнение команды.

Все пользователи, использующие затронутые релизы, должны в срочном порядке обновиться.

Затронутые версии

• Ruby 2.2 серии: 2.2.8 и ранние версии
• Ruby 2.3 серии: 2.3.5 и ранние версии
• Ruby 2.4 серии: 2.4.2 и ранние версии
• Ruby 2.5 серии: 2.5.0-preview1
• транк до ревизии r61242

Благодарности

Благодарим Etienne Stalmans-а из команды безопасности продуктов Heroku за обнародование информации о данной проблеме.

История

• Оригинал опубликован в 2017-12-14 16:00:00 (UTC)