CVE-2017-17405: Вразливість ін'єкції команди в Net::FTP

Опублікував nagachika 14-12-2017
Переклав: Andrii Furmanets

Є вразливість ін’єкції команди в Net::FTP, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2017-17405.

Деталі

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, та puttextfile використовують Kernel#open для відкриття локального файлу. Якщо аргумент localfile починається з символу труби "|", команда після символу труби виконується. Значення за замовчуванням localfile є File.basename(remotefile), тому зловмисні FTP сервери могли спричинити виконання довільної команди.

Всі користувачі, які запускають зачеплений випуск, повинні оновитися негайно.

Зачеплені версії

• Серія Ruby 2.2: 2.2.8 та раніше
• Серія Ruby 2.3: 2.3.5 та раніше
• Серія Ruby 2.4: 2.4.2 та раніше
• Серія Ruby 2.5: 2.5.0-preview1
• до ревізії trunk r61242

Подяка

Дякуємо Etienne Stalmans з команди безпеки продукту Heroku за повідомлення про проблему.

Історія

• Спочатку опубліковано 2017-12-14 16:00:00 (UTC)