CVE-2021-31810: Вразливість довіри до FTP PASV відповідей в Net::FTP

Опублікував shugo 07-07-2021
Переклав: Andrii Furmanets

Була виявлена вразливість довіри до FTP PASV відповідей в Net::FTP. Цій вразливості присвоєно ідентифікатор CVE CVE-2021-31810. Ми настійно рекомендуємо оновити Ruby.

net-ftp є default gem в Ruby 3.0.1, але він має проблему з пакуванням, тому будь ласка, оновіть Ruby.

Деталі

Зловмисний FTP сервер може використати PASV відповідь, щоб обдурити Net::FTP підключитися назад до заданої IP адреси та порту. Це потенційно дозволяє Net::FTP витягти інформацію про сервіси, які інакше приватні та не розкриті (наприклад, зловмисник може провести сканування портів та витягнення банерів сервісів).

Зачеплені версії

• Серія Ruby 2.6: 2.6.7 та раніше
• Серія Ruby 2.7: 2.7.3 та раніше
• Серія Ruby 3.0: 3.0.1 та раніше

Подяка

Дякую Alexandr Savca за повідомлення про проблему.

Історія

• Спочатку опубліковано 2021-07-07 09:00:00 UTC