CVE-2017-17405: Kerentanan command injection pada Net::FTP

Ditulis oleh nagachika tanggal 2017-12-14
Diterjemahkan oleh meisyal

Ada sebuah kerentanan command injection pada Net::FTP yang di-bundle dengan Ruby. Kerentanan ini telah ditetapkan dalam penanda CVE CVE-2017-17405.

Detail

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, dan puttextfile menggunakan Kernel#open untuk membuka sebuah berkas lokal. Jika argumen localfile mulai dengan karakter pipa "|", perintah yang mengikuti karakter pipa tersebut dieksekusi. Nilai default dari localfile adalah File.basename(remotefile), sehingga server FTP yang berbahaya dapat menyebabkan eksekusi perintah semaunya.

Semua pengguna yang menggunakan rilis yang terimbas seharusnya segera memperbarui.

Versi Terimbas

Rangkaian Ruby 2.2: 2.2.8 dan sebelumnya
Rangkaian Ruby 2.3: 2.3.5 dan sebelumnya
Rangkaian Ruby 2.4: 2.4.2 dan sebelumnya
Rangkaian Ruby 2.5: 2.5.0-preview1
sebelum revisi trunk r61242

Pujian

Terima kasih kepada Etienne Stalmans dari Heroku product security team atas laporan masalah ini.

Riwayat

Semula dipublikasikan pada 2017-12-14 16:00:00 (UTC)

Ruby

Sahabat Terbaik Programmer

CVE-2017-17405: Kerentanan command injection pada Net::FTP

Detail

Versi Terimbas

Pujian

Riwayat

Berita Baru

Sindikasi Web