CVE-2019-15845: Вразливість ін'єкції NUL File.fnmatch та File.fnmatch?

Опублікував mame 01-10-2019
Переклав: Andrii Furmanets

Була знайдена вразливість ін’єкції NUL вбудованих методів Ruby (File.fnmatch та File.fnmatch?). Зловмисник, який має контроль над параметром шаблону шляху, може використати цю вразливість, щоб зробити відповідність шляху успішною, незважаючи на намір автора програми. CVE-2019-15845 присвоєно цій вразливості.

Деталі

Вбудовані методи File.fnmatch та його аліас File.fnmatch? приймають шаблон шляху як їхній перший параметр. Коли шаблон містить символ NUL (\0), методи розпізнають, що шаблон шляху закінчується одразу перед байтом NUL. Тому, скрипт, який використовує зовнішній ввід як аргумент шаблону, зловмисник може зробити його неправильно відповідним імені шляху, який є другим параметром.

Всі користувачі, які запускають будь-які зачеплені випуски, повинні оновитися якнайшвидше.

Зачеплені версії

• Всі випуски, які є Ruby 2.3 або раніше
• Серія Ruby 2.4: Ruby 2.4.7 або раніше
• Серія Ruby 2.5: Ruby 2.5.6 або раніше
• Серія Ruby 2.6: Ruby 2.6.4 або раніше
• Ruby 2.7.0-preview1
• до коміту master a0a2640b398cffd351f87d3f6243103add66575b

Подяка

Дякую ooooooo_q за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2019-10-01 11:00:00 (UTC)