CVE-2024-27281: Вразливість RCE з .rdoc_options у RDoc

Опублікував hsbt 21-03-2024
Переклав: Andrii Furmanets

Ми випустили версії gem RDoc 6.3.4.1, 6.4.1.1, 6.5.1.1 та 6.6.3.1, які мають виправлення безпеки для уразливості RCE. Цій уразливості присвоєно ідентифікатор CVE CVE-2024-27281.

Деталі

Проблему виявлено в RDoc 6.3.3 через 6.6.2, як розповсюджується в Ruby 3.x через 3.3.0.

Під час парсингу .rdoc_options (використовується для конфігурації в RDoc) як файл YAML, можливі ін’єкція об’єкта та результуюче виконання віддаленого коду, оскільки немає обмежень на класи, які можна відновити.

Під час завантаження кешу документації також можливі ін’єкція об’єкта та результуюче виконання віддаленого коду, якщо був створений кеш.

Рекомендована дія

Ми рекомендуємо оновити gem RDoc до версії 6.6.3.1 або пізнішої. Щоб забезпечити сумісність з bundled версією в старіших серіях Ruby, ви можете оновити наступним чином:

• Для користувачів Ruby 3.0: Оновіть до rdoc 6.3.4.1
• Для користувачів Ruby 3.1: Оновіть до rdoc 6.4.1.1
• Для користувачів Ruby 3.2: Оновіть до rdoc 6.5.1.1

Ви можете використовувати gem update rdoc для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "rdoc", ">= 6.6.3.1" до вашого Gemfile.

Примітка: 6.3.4, 6.4.1, 6.5.1 та 6.6.3 мають неправильне виправлення. Ми рекомендуємо оновити до 6.3.4.1, 6.4.1.1, 6.5.1.1 та 6.6.3.1 замість них.

Зачеплені версії

• Ruby 3.0.6 або нижчі
• Ruby 3.1.4 або нижчі
• Ruby 3.2.3 або нижчі
• Ruby 3.3.0
• Gem RDoc 6.3.3 або нижчі, 6.4.0 через 6.6.2 без версій патчів (6.3.4, 6.4.1, 6.5.1)

Подяки

Дякуємо ooooooo_q за виявлення цієї проблеми.

Історія

• Оригінально опубліковано 2024-03-21 4:00:00 (UTC)