CVE-2021-31810: Une vulnérabilité concernant la confiance des réponses FTP PASV dans Net::FTP
Posté par shugo le 2021-07-07
Traduit par Kevin Rosaz
Une vulnérabilité concernant la confiance des réponses FTP PASV a été découverte dans Net::FTP. Cette vulnérabilité possède l’identifiant CVE CVE-2021-31810. Nous vous recommandons fortement de mettre à jour Ruby.
net-ftp est une gemme incluse par défaut dans Ruby 3.0.1, mais a un problème d’empaquetage. Veuillez donc mettre à jour Ruby lui-même.
Détails
Un serveur FTP malveillant peut utiliser la réponse PASV pour tromper Net::FTP afin qu’il se reconnecte à une adresse IP et port donnés. Cela permet potentiellement à Net::FTP de récupérer des informations sur des services qui sont par ailleurs privés et non divulgués (par exemple, l’attaquant peut effectuer des analyses de ports et récupérer les bannières de services).
Versions concernées
- Toutes les versions de Ruby 2.6 antérieures à Ruby 2.6.7
- Toutes les versions de Ruby 2.7 antérieures à Ruby 2.7.3
- Toutes les versions de Ruby 3.0 antérieures à Ruby 3.0.1
Remerciements
Merci à Alexandr Savca pour la découverte de ce problème.
Historique
- Paru initialement le 2021-07-07 09:00:00 UTC
Actualité récente
Sortie de Ruby 3.4.4
Ruby 3.4.4 est sorti.
Posté par k0kubun le 2025-05-14
Ruby 3.5.0 preview1 est disponible
Nous avons le plaisir d’annoncer la sortie de Ruby 3.5.0-preview1. Ruby 3.5 met à jour sa version Unicode vers 15.1.0, et plus encore.
Posté par naruse le 2025-04-18
Ruby 3.4.3 est disponible
Ruby 3.4.3 est sorti.
Posté par k0kubun le 2025-04-14
Ruby 3.3.8 est disponible
Ruby 3.3.8 est sorti.
Posté par nagachika le 2025-04-09