CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞
由 hsbt 發表於 2024-03-21
翻譯: Bear Su
我們發布了 RDoc gem 版本 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1 對 RCE 漏洞進行了安全性修復。 該漏洞的 CVE 編號為 CVE-2024-27281。
風險細節
在 RDoc 6.3.3 至 6.6.2 中發現了一個問題,Ruby 影響版本為 3.x 至 3.3.0。
當解析 YAML 格式的 .rdoc_options 檔案時 (用於 RDoc 設定),由於沒有限制恢復的類別,可能導致執行物件注入與遠端程式碼進行攻擊。
當載入文件快取時,如果有特製的快取存在,則可能執行物件注入與遠端程式碼進行攻擊。
建議行動
我們建議升級 RDoc gem 至 6.6.3.1 或更新版本。為了確保相容於 Ruby 舊版本,您可以按照以下方式進行升級:
- Ruby 3.0: 升級至
rdoc6.3.4.1 - Ruby 3.1: 升級至
rdoc6.4.1.1 - Ruby 3.2: 升級至
rdoc6.5.1.1
您可以使用 gem update rdoc 進行更新。如果您使用 bundler,請將 gem "rdoc", ">= 6.6.3.1" 加入到您的 Gemfile 中。
注意: 6.3.4、6.4.1、6.5.1 和 6.6.3 有不正確的修復。我們建議升級至 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1。
受影響版本
- Ruby 3.0.6 及更早版本
- Ruby 3.1.4 及更早版本
- Ruby 3.2.3 及更早版本
- Ruby 3.3.0
- RDoc gem 6.3.3 及更早版本,6.4.0 至 6.6.2 中未修補版本 (6.3.4, 6.4.1, 6.5.1)
致謝
感謝 ooooooo_q 發現此問題。
歷史
- 最初發佈於 2024-03-21 4:00:00 (UTC)
最新消息
Ruby 4.0.0 preview2 發布
我們很高興宣布 Ruby 4.0.0-preview2 發布了。 Ruby 4.0 將 Unicode 版本更新至 17.0.0,以及其他更新。
由 naruse 發表於 2025-11-17
Ruby 3.3.10 發布
Ruby 3.3.10 已經發布了。
由 nagachika 發表於 2025-10-23
移交 RubyGems 程式碼儲存庫的所有權
親愛的 Ruby 社群
由 matz 發表於 2025-10-17
Ruby 3.4.7 發布
Ruby 3.4.7 已經發布了。
由 k0kubun 發表於 2025-10-07