FileUtils 易受符号链接竞争攻击的影响

由 Urabe Shyouhei 发布于 2011 年 2 月 18 日

在 FileUtils.remove_entry_secure 中发现了一个符号链接竞争条件漏洞。该漏洞允许本地用户删除任意文件和目录。

受影响的版本

• Ruby 1.8.6 patchlevel 420 及之前所有版本
• Ruby 1.8.7 patchlevel 330 及之前所有版本
• Ruby 1.8 的开发版本 (1.8.8dev)
• Ruby 1.9.1 patchlevel 430 及之前所有版本
• Ruby 1.9.2 patchlevel 136 及之前所有版本
• Ruby 1.9 开发版本 (1.9.3dev)

解决方案

我们已修复此情况。建议所有受影响用户升级其 Ruby 安装。

但请注意，当您想要删除的任何上层目录由您不信任的人拥有时，符号链接竞争攻击是无法避免的。因此，如果您想要安全，就必须确保 **所有** 父目录都不能被其他不信任的用户移动。例如，父目录不应由不信任的用户拥有，并且除了设置了粘滞位（sticky bit）的情况外，不应是全局可写的。

更新

• 修复了拼写错误。(vulnerabile -> vulnerable)
• 发布了 1.8.7-334 版本来修复此问题。建议 1.8.7 用户升级。
  • https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p334.tar.gz
  • https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p334.tar.bz2
  • https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p334.zip
• 发布了 1.9.1-p431 版本来修复此问题。建议 1.9.1 用户升级。
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p431.tar.gz
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p431.tar.bz2
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p431.zip
• 发布了 1.9.2-p180 版本来修复此问题。建议 1.9.2 用户升级。
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p180.tar.gz
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p180.tar.bz2
  • https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.2-p180.zip
• 修复了 1.9 系列受影响的版本。