CVE-2021-31799: Уязвимость внедрения команды в RDoc
Опубликовал aycabta 02-05-2021
Перевел: nakilon
В RDoc, поставляемом с Ruby, обнаружена уязвимость внедрения команды. Всем пользователям Ruby рекомендуется обновить RDoc до последней версии, которая исправляет проблему.
Подробности
Сообщество об уязвимости:
RDoc использовал Kernel#open для открытия локальных файлов. Если имя файла в проекте на Ruby начинается с |, а заканчивается на tags, то будет выполнена команда, идущая после символа |. Вредоносный код на Ruby мог использовать это для выполнения произвольной команды, когда пользователь вводит команду rdoc.
Пользователи Ruby, у которых версия RDoc имеет данную уязвимость, должны обновиться до последней версии RDoc.
Уязвимые версии
- Все версии RDoc от 3.11 до 6.3.0
Как обновиться
Выполните следующую команду, чтобы обновить RDoc до последней версии (6.3.1 или выше), чтобы исправить уязвимость.
gem install rdoc
Если вы используете bundler, добавьте gem "rdoc", ">= 6.3.1" в ваш Gemfile.
Авторство
Благодарим Alexandr Savca за сообщение о проблеме.
История
- Изначально опубликовано в 2021-05-02 09:00:00 UTC
- Ruby 3.0.2 (поставляется с RDoc 6.3.1), Ruby 2.7.4 (поставляется с RDoc 6.2.1.1) and Ruby 2.6.8 (поставляется с RDoc 6.1.2.1) уже содержат исправления и потому не подвержены уязвимости
Последние новости
Вышел Ruby 4.0.3
Вышел Ruby 4.0.3.
Опубликовал k0kubun 21-04-2026
Вышел Ruby 3.2.11
Вышел Ruby 3.2.11. В этот релиз вошло обновление гема zlib, устраняющее CVE-2026-27820.
Опубликовал hsbt 27-03-2026
Вышел Ruby 3.3.11
Вышел Ruby 3.3.11. В этот релиз вошло обновление гема zlib, устраняющее CVE-2026-27820, а также некоторые исправления ошибок.
Опубликовал hsbt 26-03-2026
Вышел Ruby 4.0.2
Вышел Ruby 4.0.2.
Опубликовал k0kubun 16-03-2026