CVE-2021-31810: Vulnerabilidad por confiar en respuestas FTP PASV en Net::FTP
Publicado por shugo el 2021-07-07
Se ha descubierto una vulnerabilidad en Net::FTP por confiar en respuestas FTP PASV. A eta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-31810. Recomendamos enfáticamente actualizar Ruby.
net-ftp es una gema predeterminada en Ruby 3.0.1 pero tiene un problema de empaquetamiento, así que por favor actualice Ruby completo.
Detalles
Una servidor FTP malicioso puede usar la respuesta PASV para engañar a Net::FTP para que se conecte de vuelta a una dirección IP y puerto dados. Esto potencialmente hace que Net::FTP extraiga información sobre servicios que de otra manera es privada y que no se publica (e.g. el atacante puede conducir escaneo de puertos y extraer anuncios de los servicios).
Versiones afectadas
- Series de Ruby 2.6: 2.6.7 y anteriores
- Series de Ruby 2.7: 2.7.3 y anteriores
- Series de Ruby 3.0: 3.0.1 y anteriores
Creditos
Agradecemos a Alexandr Savca por reportar este problema.
Historia
- Se publicó originalmente el 2021-07-07 09:00:00 UTC
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23