CVE-2017-17405: Lỗ hổng chèn lệnh trong Net::FTP

Đăng bởi nagachika vào 14 Dec 2017

Có một lỗ hổng chèn lệnh trong Net::FTP được đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2017-17405.

Chi tiết

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, và puttextfile sử dụng Kernel#open để mở tệp cục bộ. Nếu tham số localfile bắt đầu bằng ký tự pipe "|", lệnh theo sau ký tự pipe sẽ được thực thi. Giá trị mặc định của localfile là File.basename(remotefile), do đó các máy chủ FTP độc hại có thể gây ra thực thi lệnh tùy ý.

Tất cả người dùng đang chạy phiên bản bị ảnh hưởng nên nâng cấp ngay lập tức.

Các phiên bản bị ảnh hưởng

• Ruby nhánh 2.2: 2.2.8 và trước đó
• Ruby nhánh 2.3: 2.3.5 và trước đó
• Ruby nhánh 2.4: 2.4.2 và trước đó
• Ruby nhánh 2.5: 2.5.0-preview1
• trước trunk revision r61242

Ghi công

Cảm ơn Etienne Stalmans từ đội bảo mật sản phẩm Heroku đã báo cáo vấn đề này.

Lịch sử

• Được công bố lần đầu vào 2017-12-14 16:00:00 (UTC)