CVE-2021-31799: Уязвимость внедрения команды в RDoc

В RDoc, поставляемом с Ruby, обнаружена уязвимость внедрения команды. Всем пользователям Ruby рекомендуется обновить RDoc до последней версии, которая исправляет проблему.

Подробности

Сообщество об уязвимости:

RDoc использовал Kernel#open для открытия локальных файлов. Если имя файла в проекте на Ruby начинается с |, а заканчивается на tags, то будет выполнена команда, идущая после символа |. Вредоносный код на Ruby мог использовать это для выполнения произвольной команды, когда пользователь вводит команду rdoc.

Пользователи Ruby, у которых версия RDoc имеет данную уязвимость, должны обновиться до последней версии RDoc.

Уязвимые версии

  • Все версии RDoc от 3.11 до 6.3.0

Как обновиться

Выполните следующую команду, чтобы обновить RDoc до последней версии (6.3.1 или выше), чтобы исправить уязвимость.

gem install rdoc

Если вы используете bundler, добавьте gem "rdoc", ">= 6.3.1" в ваш Gemfile.

Авторство

Благодарим Alexandr Savca за сообщение о проблеме.

История

  • Изначально опубликовано в 2021-05-02 09:00:00 UTC