RubyGems 中存在多个漏洞

Ruby 捆绑的 RubyGems 中存在多个漏洞。 RubyGems 官方博客已报告此事

详细信息

已报告以下漏洞。

  • 防止在将内容写入根目录外的基于符号链接的 base 目录时出现路径遍历。
  • 修复 gem 所有者中可能存在的不安全对象反序列化漏洞。
  • 严格解释 tar 标头中的八进制字段。
  • 当软件包中存在重复文件时,引发安全错误。
  • 在 spec homepage 属性上强制执行 URL 验证。
  • 缓解通过 gem 服务器显示时 homepage 属性中的 XSS 漏洞。
  • 防止 gem 安装期间的路径遍历问题。

强烈建议 Ruby 用户尽快升级您的 Ruby 安装或采取以下任一解决方法。

受影响版本

  • Ruby 2.2 系列:2.2.9 及更早版本
  • Ruby 2.3 系列:2.3.6 及更早版本
  • Ruby 2.4 系列:2.4.3 及更早版本
  • Ruby 2.5 系列:2.5.0 及更早版本
  • 早于 trunk 修订版本 62422

解决方法

原则上,您应该将 Ruby 安装升级到最新版本。RubyGems 2.7.6 或更高版本包含针对这些漏洞的修复,因此如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。

gem update --system

如果无法升级 RubyGems,您可以应用以下补丁作为解决方法。

关于 trunk,请更新到最新修订版本。

鸣谢

此报告基于 RubyGems 的官方博客

历史记录

  • 最初发布于 2018-02-17 03:00:00 UTC
  • 关于在 2018-03-29 01:00:00 UTC 升级 Rubies 的说明