Множинні вразливості jQuery в RDoc

Опублікував aycabta 28-08-2019
Переклав: Andrii Furmanets

Є множинні вразливості про Cross-Site Scripting (XSS) в jQuery, що постачається з RDoc, який включено в Ruby. Всім користувачам Ruby рекомендується оновити Ruby до останнього випуску, який включає виправлену версію RDoc.

Деталі

Були повідомлені наступні вразливості.

• CVE-2012-6708
• CVE-2015-9251

Настійно рекомендується всім користувачам Ruby оновити вашу установку Ruby або застосувати один з наступних обхідних шляхів якнайшвидше. Ви також повинні перегенерувати існуючі документації RDoc, щоб повністю пом’якшити вразливості.

Зачеплені версії

• Серія Ruby 2.3: всі
• Серія Ruby 2.4: 2.4.6 та раніше
• Серія Ruby 2.5: 2.5.5 та раніше
• Серія Ruby 2.6: 2.6.3 та раніше
• до коміту master f308ab2131ee675000926540cbb8c13c91dc3be5

Необхідні дії

RDoc - це інструмент генерації статичної документації. Патчування самого інструменту недостатньо для пом’якшення цих вразливостей.

Тому, документації RDoc, згенеровані з попередніми версіями, повинні бути перегенеровані з новішим RDoc.

Обхідні шляхи

В принципі, ви повинні оновити вашу установку Ruby до останньої версії. RDoc 6.1.2 або пізніші включають виправлення для вразливостей, тому оновіть RDoc до останньої версії, якщо ви не можете оновити Ruby.

Зауважте, що, як згадано раніше, ви повинні перегенерувати існуючі документації RDoc.

gem install rdoc -f

Оновлення: Початкова версія цього посту частково згадувала rdoc-6.1.1.gem, який все ще був вразливим. Будь ласка, переконайтеся, що ви встановлюєте rdoc-6.1.2 або пізніші.

Щодо версії розробки, оновіть до останнього HEAD гілки master.

Подяка

Дякую Chris Seaton за повідомлення про проблему.

Історія

• Спочатку опубліковано 2019-08-28 09:00:00 UTC
• Версія RDoc виправлена 2019-08-28 11:50:00 UTC
• Мінорні виправлення мови 2019-08-28 12:30:00 UTC