CVE-2019-16255: Вразливість ін'єкції коду Shell#[] та Shell#test

Опублікував mame 01-10-2019
Переклав: Andrii Furmanets

Була знайдена вразливість ін’єкції коду Shell#[] та Shell#test у стандартній бібліотеці (lib/shell.rb). Вразливості присвоєно ідентифікатор CVE CVE-2019-16255.

Деталі

Shell#[] та його аліас Shell#test, визначені в lib/shell.rb, дозволяють ін’єкцію коду, якщо перший аргумент (також відомий як аргумент “команда”) є ненадійними даними. Зловмисник може використати це для виклику довільного методу Ruby.

Зауважте, що передача ненадійних даних до методів Shell загалом небезпечна. Користувачі ніколи не повинні робити це. Однак, ми розглядаємо цей конкретний випадок як вразливість, оскільки мета Shell#[] та Shell#test вважається тестуванням файлів.

Всі користувачі, які запускають зачеплений випуск, повинні оновитися негайно.

Зачеплені версії

• Всі випуски, які є Ruby 2.3 або раніше
• Серія Ruby 2.4: Ruby 2.4.7 або раніше
• Серія Ruby 2.5: Ruby 2.5.6 або раніше
• Серія Ruby 2.6: Ruby 2.6.4 або раніше
• Ruby 2.7.0-preview1

Подяка

Дякую ooooooo_q за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2019-10-01 11:00:00 (UTC)
• Виправлено мінорну проблему орфографії 2019-10-05 12:00:00 (UTC)