CVE-2021-31799: Faille d'injection de commandes dans RDoc
Posté par aycabta le 2021-05-02
Traduit par Kevin Rosaz
Il y a une faille concernant l’injection de commandes dans RDoc qui est inclue dans Ruby. Il est recommandé aux utilisateurs de Ruby de mettre à jour RDoc vers la dernière version afin de corriger la faille.
Détails
La faille suivante a été signalée.
RDoc fait appel à Kernel#open pour ouvrir un fichier localement. Si un projet Ruby possède un fichier dont le nom commence par | et se termine par tags, alors la commande suivant le pipe (barre verticale) est exécutée. Un projet Ruby malveillant pourrait exploiter ce comportement pour exécuter des commandes arbitraires à l’encontre de l’utilisateur qui tente de lancer rdoc
Les utilisateurs du Ruby dont la version de RDoc est concernée par cette faille devrait faire une mise à jour vers la dernière version de RDoc.
Versions concernées
- Toutes les versions de RDoc depuis la 3.11 jusqu’à la 6.3.0
Comment mettre à jour ?
Veuillez lancer la commande suivante pour mettre à jour RDoc à la dernière version (6.3.1 ou supérieure) afin de corriger la faille.
gem install rdoc
Remerciements
Merci à Alexandr Savca d’avoir signalé cette faille.
Historique
- Paru initialement le 2021-05-02 09:00:00 UTC
Actualité récente
Ruby 3.2.10 est disponible
Ruby 3.2.10 est désormais disponible.
Posté par hsbt le 2026-01-14
Ruby 4.0.1 est disponible
Ruby 4.0.1 est désormais disponible.
Posté par k0kubun le 2026-01-13
Refonte de l'identité visuelle de notre site
Nous sommes ravis d’annoncer une refonte complète de notre site. Le style de cette mise à jour a été créé par Taeko Akatsuka.
Posté par Hiroshi SHIBATA le 2025-12-22
Sortie de Ruby 3.4.4
Ruby 3.4.4 est sorti.
Posté par k0kubun le 2025-05-14