CVE-2021-31799: RDoc'ta bir komut satırı enjeksiyon zaafiyeti

aycabta tarafından 02.05.2021 tarihinde gönderildi
Çeviri: ismailarilik

Ruby ile paketlenen RDoc’ta Komut Satırı Enjeksiyonu ile ilgili bir zaafiyet bulunmaktadır. Tüm Ruby kullanıcılarına bu zaafiyeti çözen son RDoc sürümüne güncelleme yapmaları önerilir.

Ayrıntılar

Aşağıdaki zaafiyet bildirilmiştir.

• CVE-2021-31799

RDoc yerel bir dosyayı açmak için Kernel#open metodunu çağırıyordu. Eğer bir Ruby projesi | ile başlayan ve tags ile biten bir dosyaya sahipse, boru karakterini takip eden komut çalıştırılır. Kötü niyetli bir Ruby projesi, rdoc komutunu çalıştırmayı deneyen bir kullanıcıya karşı herhangi bir komutu çalıştırmak için bunu kullanabilirdi.

RDoc sürümleri bu sorundan etkilenen Ruby kullanıcıları RDoc’un en son sürümüne güncelleme yapmalıdır.

Etkilenen Sürümler

• 3.11’den 6.3.0’a tüm RDoc sürümleri

Nasıl Güncellenir

Zaafiyeti düzeltmek amacıyla RDoc’u en son sürüme (6.3.1 ya da sonrası) güncellemek için aşağıdaki komutu çalıştırın.

gem install rdoc

Eğer bundler kullanıyorsanız, lütfen gem "rdoc", ">= 6.3.1" satırını Gemfile dosyanıza ekleyin.

Teşekkürler

Bu sorunu bildirdiği için Alexandr Savca‘ya teşekkür ederiz.

Geçmiş

• İlk olarak 2021-05-02 09:00:00 UTC tarihinde bildirilmiştir.