CVE-2021-31810: Уязвимость доверия к PASV-ответам FTP в Net::FTP

В Net::FTP обнаружена уязвимость доверия к PASV-ответам FTP. Этой уязвимости присвоен идентификатор CVE-2021-31810. Мы настоятельно рекомендуем обновить Ruby.

net-ftp является встроенным гемом Ruby 3.0.1, но т.к. есть трудности с его поставкой, следует обновить Ruby целиком.

Подробности

Вредоносный FTP-сервер может использовать ответ PASV так, что Net::FTP подключится к заданному IP адресу и порту. Это потенциально позволяет Net::FTP получать информацию о сервисах, которые иначе скрыты (например, злоумышленник может сканировать порты и доставать баннеры).

Уязвимые версии

  • Ruby 2.6: 2.6.7 и ниже
  • Ruby 2.7: 2.7.3 и ниже
  • Ruby 3.0: 3.0.1 и ниже

Авторство

Благодарим Alexandr Savca за сообщение о проблеме.

История

  • Изначально опубликовано в 2021-07-07 09:00:00 UTC