发布者:usa,于 2017 年 8 月 29 日
Ruby 捆绑的 RubyGems 中存在多个漏洞。 RubyGems 官方博客已对此进行了报告。
详细信息
已报告以下漏洞。
- DNS 请求劫持漏洞。(CVE-2017-0902)
- ANSI 转义序列漏洞。(CVE-2017-0899)
- query 命令中的 DoS 漏洞。(CVE-2017-0900)
- gem 安装程序中的漏洞,允许恶意 gem 覆盖任意文件。(CVE-2017-0901)
强烈建议 Ruby 用户尽快升级或采取以下替代方案之一。
受影响版本
- Ruby 2.2 系列:2.2.7 及更早版本
- Ruby 2.3 系列:2.3.4 及更早版本
- Ruby 2.4 系列:2.4.1 及更早版本
- 早于 trunk 修订版 59672
替代方案
如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。RubyGems 2.6.13 或更高版本包含针对这些漏洞的修复程序。
gem update --system
如果无法升级 RubyGems,可以应用以下补丁作为替代方案。
- 适用于 Ruby 2.2.7
- 适用于 Ruby 2.3.4
- 适用于 Ruby 2.4.1:需要 2 个补丁。按以下顺序依次应用
关于 trunk,请更新到最新修订版。
鸣谢
此报告基于 RubyGems 的官方博客。
历史记录
- 最初发布于 2017-08-29 12:00:00 UTC
- 于 2017-08-31 2:00:00 UTC 添加了 CVE 编号
- 于 2017-09-15 12:00:00 UTC 提及了升级 Ruby