Множинні вразливості в RubyGems

Опублікував hsbt 05-03-2019
Переклав: Andrii Furmanets

Є множинні вразливості в RubyGems, включеному в Ruby. Це повідомлено в офіційному блозі RubyGems.

Деталі

Були повідомлені наступні вразливості.

• CVE-2019-8320: Видалення директорії з використанням символічного посилання при розпакуванні tar
• CVE-2019-8321: Вразливість ін’єкції escape послідовності в verbose
• CVE-2019-8322: Вразливість ін’єкції escape послідовності в gem owner
• CVE-2019-8323: Вразливість ін’єкції escape послідовності в обробці API відповіді
• CVE-2019-8324: Встановлення зловмисного gem може призвести до виконання довільного коду
• CVE-2019-8325: Вразливість ін’єкції escape послідовності в помилках

Настійно рекомендується користувачам Ruby оновити вашу установку Ruby або застосувати один з наступних обхідних шляхів якнайшвидше.

Зачеплені версії

• Серія Ruby 2.3: всі
• Серія Ruby 2.4: 2.4.5 та раніше
• Серія Ruby 2.5: 2.5.3 та раніше
• Серія Ruby 2.6: 2.6.1 та раніше
• до ревізії trunk 67168

Обхідні шляхи

В принципі, ви повинні оновити вашу установку Ruby до останньої версії. RubyGems 3.0.3 або пізніші включають виправлення для вразливостей, тому оновіть RubyGems до останньої версії, якщо ви не можете оновити Ruby.

gem update --system

Якщо ви не можете оновити RubyGems, ви можете застосувати наступні патчі як обхідний шлях.

• для Ruby 2.4.5
• для Ruby 2.5.3
• для Ruby 2.6.1

Щодо Ruby trunk, оновіть до останньої ревізії.

Подяка

Цей звіт базується на офіційному блозі RubyGems.

Історія

• Спочатку опубліковано 2019-03-05 00:00:00 UTC
• Посилання на оновлені патчі 2019-03-06 05:26:27 UTC
• Згадка про оновлення Ruby 2019-04-01 06:00:00 UTC