CVE-2017-17405: Net::FTP 中的命令注入漏洞
由 nagachika 于 2017 年 12 月 14 日发布
Ruby 自带的 Net::FTP 中存在命令注入漏洞。此漏洞已被分配 CVE 标识符 CVE-2017-17405。
详情
Net::FTP#get、getbinaryfile、gettextfile、put、putbinaryfile 和 puttextfile 使用 Kernel#open 打开本地文件。如果 localfile 参数以管道符 "|" 开头,则会执行管道符后面的命令。 localfile 的默认值是 File.basename(remotefile),因此恶意的 FTP 服务器可能导致任意命令执行。
所有运行受影响版本的用户都应立即升级。
受影响的版本
- Ruby 2.2 系列:2.2.8 及更早版本
- Ruby 2.3 系列:2.3.5 及更早版本
- Ruby 2.4 系列:2.4.2 及更早版本
- Ruby 2.5 系列:2.5.0-preview1
- trunk r61242 版本之前
致谢
感谢 Heroku 产品安全团队的 Etienne Stalmans 报告此问题。
历史
- 最初发布于 2017-12-14 16:00:00 (UTC)
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日