RubyGems 中的多个漏洞
由 usa 于 2017 年 8 月 29 日发布
Ruby 自带的 RubyGems 中存在多个漏洞。官方 RubyGems 博客已报告此情况。
详情
已报告以下漏洞。
- 一个 DNS 请求劫持漏洞。(CVE-2017-0902)
- 一个 ANSI 转义序列漏洞。(CVE-2017-0899)
- 查询命令中的一个 DoS 漏洞。(CVE-2017-0900)
- gem 安装程序中的一个漏洞,允许恶意 gem 覆盖任意文件。(CVE-2017-0901)
强烈建议 Ruby 用户尽快升级或采取以下其中一种解决方法。
受影响的版本
- Ruby 2.2 系列:2.2.7 及更早版本
- Ruby 2.3 系列:2.3.4 及更早版本
- Ruby 2.4 系列:2.4.1 及更早版本
- 在 trunk r59672 之前
变通方法
如果您无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。RubyGems 2.6.13 或更高版本包含了漏洞的修复。
gem update --system
如果您无法升级 RubyGems,可以应用以下补丁作为变通方法。
- 针对 Ruby 2.2.7
- 针对 Ruby 2.3.4
- 针对 Ruby 2.4.1:需要 2 个补丁。按顺序应用如下
关于 trunk,请更新到最新版本。
致谢
本报告基于RubyGems 官方博客。
历史
- 最初发布于 2017-08-29 12:00:00 UTC
- 于 2017-08-31 2:00:00 UTC 添加 CVE 编号
- 于 2017-09-15 12:00:00 UTC 提及 Ruby 升级
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日