CVE-2019-16255: Sebuah kerentanan injeksi kode dari Shell#[] dan Shell#test

Ditulis oleh mame tanggal 2019-10-01
Diterjemahkan oleh meisyal

Sebuah kerentanan injeksi kode dari Shell#[] dan Shell#test pada sebuah pustaka standar (lib/shell.rb) ditemukan. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2019-16255.

Detail

Shell#[] dan aliasnya Shell#test yang didefinisikan di lib/shell.rb memperbolehkan injeksi kode jika argumen pertama (alias argumen “command”) adalah data yang tidak bisa dipercaya. Seorang penyerang dapat memanfaatkan ini untuk memanggil sebuah method Ruby apapun.

Catat bahwa melewatkan data yang tidak bisa dipercaya ke Shell method adalah berbahaya pada umumnya. Namun demikian, kami memperlakukan khusus kasus ini sebagai sebuah kerentanan karena tujuan dari Shell#[] dan Shell#test adalah file testing.

Semua pengguna yang terimbas dengan rilis ini seharusnya segera memperbarui.

Versi Terimbas

• Semua rilis Ruby 2.3 atau sebelumnya
• Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
• Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
• Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
• Ruby 2.7.0-preview1

Rujukan

Terima kasih kepada ooooooo_q yang telah menemukan masalah ini.

Riwayat

• Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)
• Memperbaiki masalah kecil ejaan pada 2019-10-05 12:00:00 (UTC)