RubyGems 中存在多个漏洞

Ruby 捆绑的 RubyGems 中存在多个漏洞。 RubyGems 官方博客已对此进行了报告

详细信息

已报告以下漏洞。

  • DNS 请求劫持漏洞。(CVE-2017-0902)
  • ANSI 转义序列漏洞。(CVE-2017-0899)
  • query 命令中的 DoS 漏洞。(CVE-2017-0900)
  • gem 安装程序中的漏洞,允许恶意 gem 覆盖任意文件。(CVE-2017-0901)

强烈建议 Ruby 用户尽快升级或采取以下替代方案之一。

受影响版本

  • Ruby 2.2 系列:2.2.7 及更早版本
  • Ruby 2.3 系列:2.3.4 及更早版本
  • Ruby 2.4 系列:2.4.1 及更早版本
  • 早于 trunk 修订版 59672

替代方案

如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。RubyGems 2.6.13 或更高版本包含针对这些漏洞的修复程序。

gem update --system

如果无法升级 RubyGems,可以应用以下补丁作为替代方案。

关于 trunk,请更新到最新修订版。

鸣谢

此报告基于 RubyGems 的官方博客

历史记录

  • 最初发布于 2017-08-29 12:00:00 UTC
  • 于 2017-08-31 2:00:00 UTC 添加了 CVE 编号
  • 于 2017-09-15 12:00:00 UTC 提及了升级 Ruby