Вразливість Ruby в налаштуваннях рівня безпеки

Опублікував Matz 03-10-2005
Переклав: Andrii Furmanets

Версії Ruby, перелічені нижче, мають вразливість, яка дозволяє довільному коду виконуватися, обходячи перевірку рівня безпеки.

Дата публікації: 2005-10-02
Зачеплені версії:
  Стабільні випуски(1.8.x) - Версії 1.8.2 та раніше (виправлено у версії 1.8.3)
  Старі випуски(1.6.x) - Версії 1.6.8 та раніше
  Версії розробки(1.9.0) - Версії 2005-09-01 та раніше (виправлено у версії 2005-09-02)

Рішення:

Користувачі стабільних випусків (1.8.x) та версій розробки (1.9.0) повинні оновлювати Ruby до останніх версій, перелічених вище. Користувачі старих випусків (1.6.x) повинні оновитися до стабільних випусків (1.8.x) або завантажити останній знімок для 1.6.x з URL нижче, зібрати та встановити.

https://cache.ruby-lang.org/pub/ruby/snapshot-1.6.tar.gz

Патч від ruby-1.6.8.tar.gz також надано за наступною адресою:

https://cache.ruby-lang.org/pub/ruby/1.6/1.6.8-patch1.gz

md5sum: 7a97381d61576e68aec94d60bc4cbbab

Патч від ruby-1.8.2.tar.gz також надано за наступною адресою:

https://cache.ruby-lang.org/pub/ruby/1.8/1.8.2-patch1.gz

md5sum: 4f32bae4546421a20a9211253da103d3

Опис:

Об’єктно-орієнтована мова сценаріїв Ruby підтримує безпечне виконання ненадійного коду двома механізмами: рівень безпеки та прапорець taint на об’єктах. Виявлено вразливість, яка дозволяє обходити ці механізми. Використовуючи вразливість, довільний код може виконуватися поза обмеженнями, вказаними в кожному рівні безпеки. Тому Ruby повинен бути оновлений на всіх системах, які використовують рівень безпеки для виконання ненадійного коду.

Посилання:

JVN#62914675 http://jvn.jp/jp/JVN%2362914675/index.html (японською мовою)

Подяка:

Ми дякуємо д-ру Yutaka Oiwa, Дослідницькому центру інформаційної безпеки, Національного інституту передових промислових наук та технологій, який виявив вразливість, яка дозволяє обходити рівень безпеки.