RubyGems 存在多個安全性風險

由 usa 發表於 2018-02-17
翻譯： Juanito Fatas

Ruby 內建的 RubyGems 發現帶有多個安全性風險。 RubyGems 官方部落格對此事的說明。

Details

以下為已回報的安全性風險。

• 預防寫入 root 以外的軟連結所存在的路徑遍歷風險
• 修復 gem owner 指令可能存在的物件反序列化風險
• 嚴格解析 tar 表頭的八進位資料
• 當 gem 包有重複檔案存在時回報安全性錯誤
• 強制對 spec 的 homepage 屬性進行 URL 驗證
• 緩解 gem server 顯示的 homepage 屬性 XSS 風險
• 預防安裝 gem 所存在的路徑遍歷風險

強烈建議 Ruby 使用者儘速採用下列任一個因應措施。

受影響版本

• Ruby 2.2 系列: 2.2.9 以及之前的版本
• Ruby 2.3 系列: 2.3.6 以及之前的版本
• Ruby 2.4 系列: 2.4.3 以及之前的版本
• Ruby 2.5 系列: 2.5.0 以及之前的版本
• trunk revision 62422 之前的版本

因應措施

請將 RubyGems 升級至最新版本。RubyGems 2.7.6 及後續版本修正了上述風險。

gem update --system

如您無法更新 RubyGems，您可以採用下列補丁。

• 對應 Ruby 2.2.9 的補丁
• 對應 Ruby 2.3.6 的補丁
• 對應 Ruby 2.4.3 的補丁
• 對應 Ruby 2.5.0 的補丁

至於 trunk 則是更新到最新版本即可。

致謝

本文基於 RubyGems 官方部落格的這篇文章。

歷史

• 初次發佈於 2018-02-17 03:00:00 UTC