Ditulis oleh usa tanggal 2017-08-29
Diterjemahkan oleh meisyal

Ada beberapa kerentanan di RubyGems yang dibungkus oleh Ruby. Ini dilaporkan pada blog resmi RubyGems.

Detail

Kerentanan berikut ini telah dilaporkan.

• kerentanan pembajakan pada request DNS. (CVE-2017-0902)
• kerentanan ANSI escape sequence. (CVE-2017-0899)
• kerentanan DoS pada perintah query. (CVE-2017-0900)
• kerentanan pada gem installer yang memperbolehkan malicious gem untuk menimpa arbitrary files. (CVE-2017-0901)

Pengguna Ruby sangat disarankan untuk memperbarui atau mengambil salah satu solusi berikut segera mungkin.

Versi Terimbas

• rangkaian Ruby 2.2: 2.2.7 dan sebelumnya
• rangkaian Ruby 2.3: 2.3.4 dan sebelumnya
• rangkaian Ruby 2.4: 2.4.1 dan sebelumnya
• sebelum revisi trunk 59672

Solusi

Jika Anda tidak dapat memperbarui Ruby itu sendiri, perbarui RubyGems ke versi terbaru. RubyGems 2.6.13 atau setelahnya berisi perbaikan untuk kerentanan-kerentanan di atas.

gem update --system

Jika Anda tidak dapat memperbarui RubyGems, Anda dapat melakukan perbaikan berikut sebagai sebuah solusi.

• untuk Ruby 2.2.7
• untuk Ruby 2.3.4
• untuk Ruby 2.4.1: membutuhkan 2 solusi. Terapkan secara berurutan sebagai berikut:
  1. RubyGems 2.6.11 sampai 2.6.12
  2. RubyGems 2.6.12 sampai 2.6.13

Mengenai trunk, perbarui ke revisi terbaru.

Rujukan

Laporan ini didasarkan pada blog resmi RubyGems.

Riwayat

• Semula dipublikasikan pada 2017-08-29 12:00:00 UTC
• Penambahan angka CVE pada 2017-08-31 2:00:00 UTC
• Sebut memperbarui Ruby pada 2017-09-15 12:00:00 UTC

Sindikasi Web

Umpan Web (RSS)