Обновление Ruby и Rails с устранением уязвимостей

14 марта 2019 года

Доступны корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей в системе управления пакетами RubyGems:

  • CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в ensure_loadable_spec на стадии проверки перед установкой);
  • CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar;
  • CVE-2019-8321: возможность подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose;
  • CVE-2019-8322: возможность подстановки escape-последовательностей через команду "gem owner";
  • CVE-2019-8323: возможность подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response);
  • CVE-2019-8325: возможность подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).

Кроме того, представлено обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей:

  • CVE-2019-5420 - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен режима для разработчиков, знание которого позволяет добиться выполнения своего кода;
  • CVE-2019-5418 - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного HTTP-заголовка Accept при наличии в коде обработчика "render file:" (например, "Accept: ../../etc/passwd{{");
  • CVE-2019-5419 - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept;

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление Ruby и Rails с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.