CVE-2021-31810: Kerentanan respons FTP PASV yang dipercaya pada Net::FTP
Ditulis oleh shugo tanggal 2021-07-07
Diterjemahkan oleh meisyal
Sebuah kerentanan respons FTP PASV yang dipercaya telah ditemukan pada Net::FTP. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2021-31810. Kami sangat merekomendasikan Anda untuk memperbarui Ruby.
net-ftp adalah sebuah default gem pada Ruby 3.0.1, tetapi gem tersebut memiliki masalah pengemasan. Sehingga, mohon perbarui Ruby.
Detail
Sebuah FTP server yang berbahaya dapat menggunakan respons PASV untuk mengelabui Net::FTP dengan menghubungkan kembali ke sebuah alamat IP dan port yang diberikan. Ini berpotensi membuat Net::FTP menguraikan informasi service yang seharusnya privat dan tidak boleh terbuka (contohnya, penyerang melakukan port scan dan service banner extraction).
Versi Terimbas
- Rangkaian Ruby 2.6: 2.6.7 dan sebelumnya
- Rangkaian Ruby 2.7: 2.7.3 dan sebelumnya
- Rangkaian Ruby 3.0: 3.0.1 dan sebelumnya
Rujukan
Terima kasih kepada Alexandr Savca yang telah melaporkan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2021-07-07 09:00:00 UTC
Berita Baru
Ruby 3.3.0-preview3 Dirilis
Kami dengan senang hati mengumumkan rilis dari Ruby 3.3.0-preview3. Ruby 3.3 menambahkan sebuah parser baru yang bernama Prism, menggunakan Lrama sebagai parser generator, menambahkan pure-Ruby...
Ditulis oleh naruse tanggal 2023-11-12
Ruby 3.3.0-preview2 Dirilis
Ditulis oleh naruse tanggal 2023-09-14
Ruby 3.3.0-preview1 Dirilis
Ditulis oleh naruse tanggal 2023-05-12
Ruby 3.2.2 Dirilis
Ruby 3.2.2 telah dirilis.
Ditulis oleh naruse tanggal 2023-03-30