发布者:usa,发布于 2018 年 2 月 17 日
Ruby 捆绑的 RubyGems 中存在多个漏洞。 RubyGems 官方博客已报告此事。
详细信息
已报告以下漏洞。
- 防止在将内容写入根目录外的基于符号链接的 base 目录时出现路径遍历。
- 修复 gem 所有者中可能存在的不安全对象反序列化漏洞。
- 严格解释 tar 标头中的八进制字段。
- 当软件包中存在重复文件时,引发安全错误。
- 在 spec homepage 属性上强制执行 URL 验证。
- 缓解通过 gem 服务器显示时 homepage 属性中的 XSS 漏洞。
- 防止 gem 安装期间的路径遍历问题。
强烈建议 Ruby 用户尽快升级您的 Ruby 安装或采取以下任一解决方法。
受影响版本
- Ruby 2.2 系列:2.2.9 及更早版本
- Ruby 2.3 系列:2.3.6 及更早版本
- Ruby 2.4 系列:2.4.3 及更早版本
- Ruby 2.5 系列:2.5.0 及更早版本
- 早于 trunk 修订版本 62422
解决方法
原则上,您应该将 Ruby 安装升级到最新版本。RubyGems 2.7.6 或更高版本包含针对这些漏洞的修复,因此如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。
gem update --system
如果无法升级 RubyGems,您可以应用以下补丁作为解决方法。
关于 trunk,请更新到最新修订版本。
鸣谢
此报告基于 RubyGems 的官方博客。
历史记录
- 最初发布于 2018-02-17 03:00:00 UTC
- 关于在 2018-03-29 01:00:00 UTC 升级 Rubies 的说明