RubyGems の複数の脆弱性について

Posted by usa on 17 Feb 2018

Ruby の標準添付ライブラリである RubyGems に、複数の脆弱性が発見されました。 RubyGems の公式ブログにて報告されています。

詳細

以下の脆弱性が報告されています。

• Prevent path traversal when writing to a symlinked basedir outside of the root.
• Fix possible Unsafe Object Deserialization Vulnerability in gem owner.
• Strictly interpret octal fields in tar headers.
• Raise a security error when there are duplicate files in a package.
• Enforce URL validation on spec homepage attribute.
• Mitigate XSS vulnerability in homepage attribute when displayed via gem server.
• Prevent Path Traversal issue during gem installation.

この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。

影響を受けるバージョン

• Ruby 2.2.9 以前の全ての Ruby 2.2 系列
• Ruby 2.3.6 以前の全ての Ruby 2.3 系列
• Ruby 2.4.3 以前の全ての Ruby 2.4 系列
• Ruby 2.5.0 以前の全ての Ruby 2.5 系列
• revision 62422 より前の開発版

回避策

原則としては、Ruby 自体を最新のリリースに更新してください。 それができない場合は、以下のコマンドを実行することにより、RubyGems を最新版(2.7.6 以降)に更新することによって、各脆弱性が修正されます。

gem update --system

もし何らかの事情で RubyGems 全体を更新できない場合は、脆弱性対応のみを行うパッチが公開されています。 各バージョン用に用意されていますので、以下より入手・適用してください。

• Ruby 2.2.9 用
• Ruby 2.3.6 用
• Ruby 2.4.3 用
• Ruby 2.5.0 用

開発版については、最新のリビジョンに更新してください。

クレジット

この脆弱性情報は、RubyGems 公式ブログに基づいています。

更新履歴

• 2018-02-17 12:00:00 (JST) 初版
• 2018-03-29 10:00:00 (JST) Ruby の最新リリースについて言及