CVE-2021-31799: Faille d'injection de commandes dans RDoc
Posté par aycabta le 2021-05-02
Traduit par Kevin Rosaz
Il y a une faille concernant l’injection de commandes dans RDoc qui est inclue dans Ruby. Il est recommandé aux utilisateurs de Ruby de mettre à jour RDoc vers la dernière version afin de corriger la faille.
Détails
La faille suivante a été signalée.
RDoc fait appel à Kernel#open pour ouvrir un fichier localement. Si un projet Ruby possède un fichier dont le nom commence par | et se termine par tags, alors la commande suivant le pipe (barre verticale) est exécutée. Un projet Ruby malveillant pourrait exploiter ce comportement pour exécuter des commandes arbitraires à l’encontre de l’utilisateur qui tente de lancer rdoc
Les utilisateurs du Ruby dont la version de RDoc est concernée par cette faille devrait faire une mise à jour vers la dernière version de RDoc.
Versions concernées
- Toutes les versions de RDoc depuis la 3.11 jusqu’à la 6.3.0
Comment mettre à jour ?
Veuillez lancer la commande suivante pour mettre à jour RDoc à la dernière version (6.3.1 ou supérieure) afin de corriger la faille.
gem install rdoc
Remerciements
Merci à Alexandr Savca d’avoir signalé cette faille.
Historique
- Paru initialement le 2021-05-02 09:00:00 UTC
Actualité récente
Sortie de Ruby 3.4.4
Ruby 3.4.4 est sorti.
Posté par k0kubun le 2025-05-14
Ruby 3.5.0 preview1 est disponible
Nous avons le plaisir d’annoncer la sortie de Ruby 3.5.0-preview1. Ruby 3.5 met à jour sa version Unicode vers 15.1.0, et plus encore.
Posté par naruse le 2025-04-18
Ruby 3.4.3 est disponible
Ruby 3.4.3 est sorti.
Posté par k0kubun le 2025-04-14
Ruby 3.3.8 est disponible
Ruby 3.3.8 est sorti.
Posté par nagachika le 2025-04-09