Вразливості виконання довільного коду

Опублікував Shugo Maeda 20-06-2008
Переклав: Andrii Furmanets

Кілька вразливостей у Ruby можуть призвести до умови відмови в обслуговуванні (DoS) або дозволити виконання довільного коду.

Вплив

З наступними вразливостями зловмисник може призвести до відмови в обслуговуванні або виконати довільний код.

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

Вразливі версії

Серія 1.8

• 1.8.4 та всі попередні версії
• 1.8.5-p230 та всі попередні версії
• 1.8.6-p229 та всі попередні версії
• 1.8.7-p21 та всі попередні версії

Серія 1.9

• 1.9.0-1 та всі попередні версії

Рішення

Серія 1.8

Будь ласка, оновіться до 1.8.5-p231, або 1.8.6-p230, або 1.8.7-p22.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

Серія 1.9

Будь ласка, оновіться до 1.9.0-2.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

Ці версії також виправляють вразливість WEBrick (CVE-2008-1891).

Будь ласка, зверніть увагу, що пакет, який виправляє цю слабкість, може вже бути доступний через ваше програмне забезпечення управління пакетами.

Подяка

Подяка Drew Yao з Apple Product Security за розкриття проблеми команді безпеки Ruby.

Зміни

• 2008-06-21 00:29 +09:00 видалено неправильні CVE ID (CVE-2008-2727, CVE-2008-2728).