CVE-2019-15845: File.fnmatch and File.fnmatch?'te NUL enjeksiyonu güvenlik açığı

mame tarafından 01.10.2019 tarihinde gönderildi
Çeviri: İsmail Arılık

Ruby gömülü metodlarında (File.fnmatch ve File.fnmatch?) NUL enjeksiyonu güvenlik açığı bulundu. Yol deseni parametresini kontrol edebilen bir saldırgan, program yazıcının niyetinin aksine yol eşleşmesinin geçmesini sağlamak için bu açığı kullanabilir. Bu güvenlik açığına CVE-2019-15845 atanmıştır.

Ayrıntılar

File.fnmatch ve takma adı File.fnmatch? gömülü metodları, yol desenini ilk parametreleri olarak kabul ederler. Desen NUL karakterini (\0) içerdiği zaman metod, yol deseninin NUL bayttan hemen önce bittiğini kabul ediyor. Yani harici bir girdiyi desen argümanı olarak kullanan bir betik, bir saldırganın ikinci parametre olan yol ismini yanlış eşleştirebilmesine imkan sağlamış olur.

Etkilenen bir sürüm koşan her kullanıcı mümkün olan en kısa zamanda yükseltme yapmalıdır.

Etkilenen Sürümler

• Ruby 2.3 ve öncesindeki tüm sürümler
• Ruby 2.4 serisi: Ruby 2.4.7 ve öncesi
• Ruby 2.5 serisi: Ruby 2.5.6 ve öncesi
• Ruby 2.6 serisi: Ruby 2.6.4 ve öncesi
• Ruby 2.7.0-preview1
• a0a2640b398cffd351f87d3f6243103add66575b master işlemesinden öncesi

Teşekkür

Bu güvenlik açığını keşfettiği için ooooooo_q‘ya teşekkür ederiz..

Geçmiş

• İlk 2019-10-01 11:00:00 (UTC) tarihinde yayınlandı.