RubyGems'te birçok güvenlik açığı

hsbt tarafından 05.03.2019 tarihinde gönderildi
Çeviri: İsmail Arılık

Ruby ile paketlenmiş RubyGems’te birçok güvenlik açığı var. Bunlar RubyGems’in resmi günlüğünde bildirilmiştir.

Ayrıntılar

Aşağıdaki güvenlik açıkları bildirilmiştir.

• CVE-2019-8320: Tar’ı çıkarırken simgesel bağlantı kullanarak dizini silme
• CVE-2019-8321: verbose‘ta kaçış dizisi enjeksiyonu güvenlik açığı
• CVE-2019-8322: gem owner‘da kaçış dizisi enjeksiyonu güvenlik açığı
• CVE-2019-8323: API yanıtı ele alımında kaçış dizisi enjeksiyonu güvenlik açığı
• CVE-2019-8324: Kötü niyetli bir gem kurmak keyfi kod çalıştırımına öncülük edebilir
• CVE-2019-8325: Hatalarda kaçış dizisi enjeksiyonu güvenlik açığı

Ruby kullanıcılarına, en kısa zamanda Ruby kurulumlarını yükseltmeleri ya da aşağıdaki geçici çözümlerden birini kullanmaları şiddetle tavsiye edilir.

Etkilenen Sürümler

• Ruby 2.3 serisi: tümü
• Ruby 2.4 serisi: 2.4.5 ve öncesi
• Ruby 2.5 serisi: 2.5.3 ve öncesi
• Ruby 2.6 serisi: 2.6.1 ve öncesi
• 67168 trunk revizyonundan öncekisi

Geçici Çözümler

Kural olarak, Ruby kurulumunuzu son sürüme yükseltmelisiniz. RubyGems 3.0.3 veya sonrası, güvenlik açıkları için düzeltmeyi içerir, yani eğer Ruby’nin kendisini yükseltemiyorsanız RubyGems’i son sürüme yükseltin.

gem update --system

Eğer RubyGems’i yükseltemiyorsanız, geçici çözüm olarak aşağıdaki yamaları uygulayabilirsiniz.

• Ruby 2.4.5 için
• Ruby 2.5.3 için
• Ruby 2.6.1 için

Ruby trunk’a gelince, son revizyon’a güncelleyin.

Jenerik

Bu bildiri RubyGems’in resmi günlüğüne dayalıdır.

Geçmiş

• Aslen 2019-03-05 00:00:00 UTC tarihinde yayınlanmıştır.
• Güncellenmiş yamalara bağlantı 2019-03-06 05:26:27 UTC tarihinde verilmiştir.
• Ruby’nin kendisini yükseltmeden 2019-04-01 06:00:00 UTC tarihinde bahsedilmiştir.