CVE-2021-31810: Net::FTP'de FTP PASV yanıtlarına güvenme zaafiyeti
shugo tarafından 07.07.2021 tarihinde gönderildi
Çeviri: ismailarilik
Net::FTP’de bir FTP PASV yanıtlarına güvenme zaafiyeti keşfedildi. Bu zaafiyete CVE-2021-31810 CVE belirteci atanmıştır. Şiddetle Ruby’yi güncellemenizi tavsiye ederiz.
net-ftp Ruby 3.0.1 ile gelen varsayılan bir gem’dir fakat paketleme sorunlarına sahiptir, yani lütfen Ruby’nin kendisini güncelleyin.
Ayrıntılar
Zararlı bir FTP sunucusu PASV yanıtını, Net::FTP’yi verilen bir IP adresi ve port’a tekrar bağlamak için kullanabilir. Bu muhtemelen Net::FTP’nin normalde gizli olan bilgileri dışarı çıkarmasını sağlayabilir. Örneğin; saldırgan port taramaları ve servis afişi çıkarmaları yönetebilir.
Etkilenen sürümler
- Ruby 2.6 serisi: 2.6.7 ve öncesi
- Ruby 2.7 serisi: 2.7.3 ve öncesi
- Ruby 3.0 serisi: 3.0.1 ve öncesi
Teşekkürler
Alexandr Savca‘ya bu zaafiyeti bildirdiği için teşekkür ederiz.
Geçmiş
- İlk olarak 2021-07-07 09:00:00 UTC tarihinde yayınlandı.
Son Haberler
Ruby 3.2.11 Yayınlandı
Ruby 3.2.11 yayınlandı. Bu sürüm, CVE-2026-27820’yi ele alan zlib gem güncellemesini içerir.
hsbt tarafından 27.03.2026 tarihinde gönderildi
Ruby 3.3.11 Yayınlandı
Ruby 3.3.11 yayınlandı. Bu sürüm, CVE-2026-27820’yi ele alan zlib gem güncellemesini ve bazı hata düzeltmelerini içerir.
hsbt tarafından 26.03.2026 tarihinde gönderildi
Ruby 4.0.2 Yayınlandı
Ruby 4.0.2 yayınlandı.
k0kubun tarafından 16.03.2026 tarihinde gönderildi
Ruby 3.4.9 Yayınlandı
Ruby 3.4.9 yayınlandı.
nagachika tarafından 11.03.2026 tarihinde gönderildi