Nhiều lỗ hổng bảo mật trong RubyGems

Đăng bởi usa vào 29 Aug 2017

Có nhiều lỗ hổng bảo mật trong RubyGems được đi kèm với Ruby. Chúng đã được báo cáo trên blog chính thức của RubyGems.

Chi tiết

Các lỗ hổng bảo mật sau đã được báo cáo.

• Lỗ hổng chiếm đoạt yêu cầu DNS. (CVE-2017-0902)
• Lỗ hổng chuỗi thoát ANSI. (CVE-2017-0899)
• Lỗ hổng DoS trong lệnh query. (CVE-2017-0900)
• Lỗ hổng trong trình cài đặt gem cho phép gem độc hại ghi đè lên các tệp tùy ý. (CVE-2017-0901)

Người dùng Ruby được khuyến nghị mạnh mẽ nâng cấp hoặc thực hiện một trong các biện pháp khắc phục sau đây càng sớm càng tốt.

Các phiên bản bị ảnh hưởng

• Ruby nhánh 2.2: 2.2.7 và trước đó
• Ruby nhánh 2.3: 2.3.4 và trước đó
• Ruby nhánh 2.4: 2.4.1 và trước đó
• trước trunk revision 59672

Biện pháp khắc phục

Nếu bạn không thể nâng cấp Ruby, hãy nâng cấp RubyGems lên phiên bản mới nhất. RubyGems 2.6.13 hoặc mới hơn bao gồm bản sửa lỗi cho các lỗ hổng này.

gem update --system

Nếu bạn không thể nâng cấp RubyGems, bạn có thể áp dụng các bản vá sau đây như một biện pháp khắc phục.

• cho Ruby 2.2.7
• cho Ruby 2.3.4
• cho Ruby 2.4.1: cần 2 bản vá. Áp dụng lần lượt như sau:
  1. RubyGems 2.6.11 lên 2.6.12
  2. RubyGems 2.6.12 lên 2.6.13

Đối với trunk, hãy cập nhật lên revision mới nhất.

Ghi công

Báo cáo này dựa trên blog chính thức của RubyGems.

Lịch sử

• Được công bố lần đầu vào 2017-08-29 12:00:00 UTC
• Thêm số CVE vào 2017-08-31 2:00:00 UTC
• Đề cập về việc nâng cấp Ruby vào 2017-09-15 12:00:00 UTC