CVE-2021-31799: Вразливість ін'єкції команди в RDoc

Опублікував aycabta 02-05-2021
Переклав: Andrii Furmanets

Є вразливість про ін’єкцію команди в RDoc, який включено в Ruby. Рекомендується всім користувачам Ruby оновити RDoc до останньої версії, яка виправляє цю проблему.

Деталі

Була повідомлена наступна вразливість.

• CVE-2021-31799

RDoc раніше викликав Kernel#open для відкриття локального файлу. Якщо проект Ruby має файл, ім’я якого починається з | та закінчується на tags, команда, що слідує за символом pipe, виконується. Зловмисний проект Ruby міг використати це для виконання довільної команди проти користувача, який намагається запустити команду rdoc.

Користувачі Ruby, версія RDoc яких зачеплена цією проблемою, повинні оновитися до останньої версії RDoc.

Зачеплені версії

• Всі випуски RDoc від 3.11 до 6.3.0
• Ruby 3.0.2 (включає RDoc 6.3.1), Ruby 2.7.4 (включає RDoc 6.2.1.1) та Ruby 2.6.8 (включає RDoc 6.1.2.1) включають виправлення та не зачеплені

Як оновити

Запустіть наступну команду для оновлення RDoc до останньої версії (6.3.1 або пізнішої), щоб виправити вразливість.

gem install rdoc

Якщо ви використовуєте bundler, будь ласка, додайте gem "rdoc", ">= 6.3.1" до вашого Gemfile.

Подяка

Дякую Alexandr Savca за повідомлення про проблему.

Історія

• Спочатку опубліковано 2021-05-02 09:00:00 UTC
• Згадка про Ruby 3.0.2, Ruby 2.7.4 та Ruby 2.6.8 2021-07-16 00:02:00 UTC