Опубликовал nagachika 14-12-2017
Перевел: badalloff
Обнаружена уязвимость типа командная инъекция в Net::FTP связанная с Ruby. Это атака, где целью является выполнение произвольных команд в операционной системе сервера через уязвимое приложение. Этой уязвимости назначен идентификатор CVE-2017-17405.
Детали
Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, и
puttextfile используют Kernel#open что бы открыть локальный файл.
Если аргумент localfile начинается с символа конвейеризации "|", команда
следующая за символом конвейеризации будет выполнена.
Для localfile значением по умолчанию является File.basename(remotefile),
поэтому вредоносные FTP-серверы могут вызвать произвольное выполнение команды.
Все пользователи, использующие затронутые релизы, должны в срочном порядке обновиться.
Затронутые версии
- Ruby 2.2 серии: 2.2.8 и ранние версии
- Ruby 2.3 серии: 2.3.5 и ранние версии
- Ruby 2.4 серии: 2.4.2 и ранние версии
- Ruby 2.5 серии: 2.5.0-preview1
- транк до ревизии r61242
Благодарности
Благодарим Etienne Stalmans-а из команды безопасности продуктов Heroku за обнародование информации о данной проблеме.
История
- Оригинал опубликован в 2017-12-14 16:00:00 (UTC)