CVE-2018-6914: Unbeabsichtigte Datei- und Verzeichniserstellung sowie Directory Traversal in Tempfile und Tmpdir

Geschrieben von usa am 28.3.2018
Übersetzt von Marvin Gülker

Es gibt ein Sicherheitsproblem mit der in Ruby enthaltenen tmpdir-Bibliothek, das zur Erzeugung unerwünschter Verzeichnisse führen kann. Ebenso kann es bei Verwendung der tempfile-Bibliothek zur Erzeugung unerwünschter Dateien kommen, da diese Bibliothek intern tmpdir benutzt. Die Schwachstelle trägt die CVE-Nummer CVE-2018-6914.

Details

Die Methode Dir.mktmpdir aus der tmpdir-Bibliothek akzeptiert als Präfix und Suffix Verzeichnisnamen als ersten Parameter. Da das Präfix auch relative Verzeichnispfade wie "../" enthalten kann, kann diese Methode benutzt werden, um beliebige Verzeichnisse zu nutzen. Wenn ein Skript Nutzereingaben als Präfix benutzt und das Zielverzeichnis fehlerhafte Zugriffsrechte oder der Ruby-Prozess fehlerhafte Privilegien hat, kann ein Angreifer ein Verzeichnis oder eine Datei in jedem beliebigen Verzeichnis erstellen.

Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.

Affected Versions

• Ruby 2.2er-Serie: 2.2.9 und früher
• Ruby 2.3er-Serie: 2.3.6 und früher
• Ruby 2.4er-Serie: 2.4.3 und früher
• Ruby 2.5er-Serie: 2.5.0 und früher
• Ruby 2.6er-Serie: 2.6.0-preview1
• Trunk vor Revision r62990

Danksagung

Dank an ooooooo_q für die Meldung des Problems.

Historie

• Erstveröffentlicht am 2018-03-28 14:00:00 (UTC)