Ruby

FileUtils вразливий до атак symlink race

Опублікував Urabe Shyouhei 18-02-2011
Переклав: Andrii Furmanets

Виявлено вразливість умови гонки symlink у FileUtils.remove_entry_secure. Вразливість дозволяє локальним користувачам видаляти довільні файли та директорії.

Зачеплені версії

  • Ruby 1.8.6 рівень патчу 420 та всі попередні версії
  • Ruby 1.8.7 рівень патчу 330 та всі попередні версії
  • Версії розробки Ruby 1.8 (1.8.8dev)
  • Ruby 1.9.1 рівень патчу 430 та всі попередні версії
  • Ruby 1.9.2 рівень патчу 136 та всі попередні версії
  • Версії розробки Ruby 1.9 (1.9.3dev)

Рішення

Ми виправили цю ситуацію. Всі зачеплені користувачі заохочуються оновити їхню установку ruby.

Але будь ласка, також зверніть увагу, що атаки symlink race неминучі, коли будь-яка з верхніх директорій, звідки ви хочете видалити, належить комусь, кому ви не можете довіряти. Тому якщо ви хочете бути безпечними, ви повинні переконатися, що ВСІ батьківські директорії не можуть бути переміщені іншими ненадійними користувачами. Наприклад, батьківські директорії не повинні належати ненадійним користувачам, і не повинні бути доступними для запису всім, крім випадків, коли встановлено sticky bit.

Оновлення

Останні новини

Вийшов Ruby 4.0.0

Ми раді повідомити про випуск Ruby 4.0.0. Ruby 4.0 представляє “Ruby Box” та “ZJIT”, а також додає багато покращень.

Опублікував naruse 25-12-2025

Новий вигляд документації Ruby

Слідом за ре-дизайном ruby-lang.org, ми маємо більше новин, щоб відсвяткувати 30-річчя Ruby: docs.ruby-lang.org має повністю новий вигляд завдяки Aliki — новій темі за замовчуванням для...

Опублікував Stan Lo 23-12-2025

Вийшов Ruby 4.0.0 preview3

Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.

Опублікував naruse 18-12-2025

Більше новин...