CVE-2019-15845: Sebuah kerentanan injeksi NUL dari File.fnmatch dan File.fnmatch?

Sebuah kerentanan injeksi NUL dari method yang ada di dalam Ruby (File.fnmatch dan File.fnmatch?) ditemukan. Seorang penyerang yang memiliki kendali terhadap parameter path pattern bisa saja memanfaatkan kerentanan ini untuk membuat path matching lolos terlepas dari maksud penulis program. CVE-2019-15845 telah ditetapkan sebagai kerentanan ini.

Detail

Method File.fnmatch dan aliasnya File.fnmatch? menerima path pattern sebagai parameter pertamanya. Ketika pattern mengandung karakter NUL (\0), method ini mengenali bahwa path pattern berakhir seketika sebelum NUL byte. Sehingga, sebuah skrip yang menggunakan input eksternal sebagai argumen parameter, seorang penyerang dapat membuat salah kecocokan sebuah pathname yang merupakan parameter kedua.

Semua pengguna yang terimbas dengan rilis ini seharusnya memperbarui segera mungkin.

Versi Terimbas

  • Semua rilis Ruby 2.3 atau sebelumnya
  • Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
  • Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
  • Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
  • Ruby 2.7.0-preview1
  • sebelum commit master a0a2640b398cffd351f87d3f6243103add66575b

Rujukan

Terima kasih kepada ooooooo_q yang telah menemukan masalah ini.

Riwayat

  • Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)