CVE-2019-16255: Einschleusung von Code in Shell#[] und Shell#test möglich

Geschrieben von mame am 1.10.2019
Übersetzt von Marvin Gülker

Es wurde eine Sicherheitslücke in den Methoden Shell#[] und Shell#test der Standardbibliothek (lib/shell.rb) gefunden. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2019-16255 zugewiesen.

Details

Die Methode Shell#[] und ihr Alias Shell#test sind in lib/shell.rb definiert. Die Übergabe nicht vertrauenswürdiger Daten als erstes Argument („command“) erlaubt die Einschleusung von Code (code injection). Dies kann ein Angreifer ausnutzen, um eine beliebige Ruby-Methode auszuführen.

Bitte beachten Sie, dass die Übergabe nicht vertrauenswürdiger Daten an Methoden von Shell generell gefährlich ist. Nutzer dürfen soetwas nicht tun. Wir behandeln den vorliegenden Fall allerdings besonders, weil wir es als einen Zweck von Shell#[] und Shell#test ansehen, Dateien zu überprüfen.

Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.

Betroffene Versionen

• Alle Ruby-Versionen bis einschließlich Ruby 2.3
• Ruby 2.4er-Serie: Ruby 2.4.7 und früher
• Ruby 2.5er-Serie: Ruby 2.5.6 und früher
• Ruby 2.6er-Serie: Ruby 2.6.4 und früher
• Ruby 2.7.0-preview1

Danksagung

Danke an ooooooo_q, der das Problem entdeckt hat.

Historie

• Erstveröffentlichung am 2019-10-01 11:00:00 (UTC)