Múltiplas vulnerabilidades no RubyGems
Escrito por usa em 29/08/2017
Traduzido por fpgentil
Existem múltiplas vulnerabilidades no RubyGems, biblioteca do Ruby. Foi reportado no blog oficial do RubyGems. (em inglês)
Detalhes
As seguintes vulnerabilidades foram reportadas.
- vulnerabilidade de redirecionamento de DNS. (CVE-2017-0902)
- vulnerabilidade de código de escape ANSI. (CVE-2017-0899)
- vulnerabilidade de ataque DoS. (CVE-2017-0900)
- vulnerabilidade no instalador de gems que permite uma gem maliciosa sobrescrever arquivos arbitrários. (CVE-2017-0901)
É altamente recomendado para os usuários do Ruby que sigam uma das soluções alternativas o mais rápido possível.
Versões Afetadas
- Série do Ruby 2.2: 2.2.7 e anteriores
- Série do Ruby 2.3: 2.3.4 e anteriores
- Série do Ruby 2.4: 2.4.1 e anteriores
- Anteriores ao trunk revision 59672
Soluções alternativas
Até o momento, não existem releases do Ruby incluindo correções para o RubyGems. Mas você pode atualizar o RubyGems para a última versão. RubyGems 2.6.13 ou versões mais recentes incluem a correção das vulnerabilidades.
gem update --system
Se você não pode atualizar o RubyGems, você pode aplicar os seguintes patches como soluções alternativas.
- para o Ruby 2.2.7
- para o Ruby 2.3.4
- para o Ruby 2.4.1: são necessários 2 patches. Aplique-os sequencialmente:
Quanto ao trunk, atualize para a última versão.
Créditos
Baseado no relato do blog oficial do RubyGems. (em inglês)
Histórico
- Originalmente publicado em 2017-08-29 12:00:00 UTC
- Adicionado números de vulnerabilidades e exposições comuns (CVE) em 2017-08-31 02:00:00 UTC
Notícias Recentes
Ruby 3.4.2 Lançado
Ruby 3.4.2 foi lançado.
Escrito por k0kubun em 14/02/2025
Ruby 3.2.7 Lançado
Ruby 3.2.7 foi lançado.
Escrito por nagachika em 04/02/2025
Ruby 3.3.7 Lançado
Ruby 3.3.7 foi lançado.
Escrito por k0kubun em 15/01/2025
Ruby 3.4.1 Lançado
Ruby 3.4.1 foi lançado.
Escrito por naruse em 25/12/2024