CVE-2017-17405: Kerentanan command injection pada Net::FTP

Ditulis oleh nagachika tanggal 2017-12-14
Diterjemahkan oleh meisyal

Ada sebuah kerentanan command injection pada Net::FTP yang di-bundle dengan Ruby. Kerentanan ini telah ditetapkan dalam penanda CVE CVE-2017-17405.

Detail

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, dan puttextfile menggunakan Kernel#open untuk membuka sebuah berkas lokal. Jika argumen localfile mulai dengan karakter pipa "|", perintah yang mengikuti karakter pipa tersebut dieksekusi. Nilai default dari localfile adalah File.basename(remotefile), sehingga server FTP yang berbahaya dapat menyebabkan eksekusi perintah semaunya.

Semua pengguna yang menggunakan rilis yang terimbas seharusnya segera memperbarui.

Versi Terimbas

• Rangkaian Ruby 2.2: 2.2.8 dan sebelumnya
• Rangkaian Ruby 2.3: 2.3.5 dan sebelumnya
• Rangkaian Ruby 2.4: 2.4.2 dan sebelumnya
• Rangkaian Ruby 2.5: 2.5.0-preview1
• sebelum revisi trunk r61242

Pujian

Terima kasih kepada Etienne Stalmans dari Heroku product security team atas laporan masalah ini.

Riwayat

• Semula dipublikasikan pada 2017-12-14 16:00:00 (UTC)