RubyGems 中的多个漏洞

由 usa 于 2018 年 2 月 17 日发布

Ruby 附带的 RubyGems 存在多项漏洞。官方 RubyGems 博客报告了相关信息：https://blog.rubygems.org.cn/2018/02/15/2.7.6-released.html。

详情

已报告以下漏洞。

• 防止写入到根目录之外的符号链接的基目录时发生路径遍历。
• 修复 gem owner 中潜在的不安全的 unserialized object 漏洞。
• 严格解析 tar 文件头中的八进制字段。
• 当包中存在重复文件时，抛出安全错误。
• 强制对 spec 的 homepage 属性进行 URL 验证。
• 当 homepage 属性通过 gem server 显示时，减轻 XSS 漏洞。
• 防止在 gem 安装过程中发生路径遍历问题。

强烈建议 Ruby 用户尽快升级您的 Ruby 安装或采取以下任一变通方法。

受影响的版本

• Ruby 2.2 系列：2.2.9 及更早版本
• Ruby 2.3 系列：2.3.6 及更早版本
• Ruby 2.4 系列：2.4.3 及更早版本
• Ruby 2.5 系列：2.5.0 及更早版本
• 在 trunk revision 62422 之前

变通方法

原则上，您应该将 Ruby 安装升级到最新版本。RubyGems 2.7.6 或更高版本已包含此漏洞的修复，因此如果您无法升级 Ruby 本身，请将 RubyGems 升级到最新版本。

gem update --system

如果您无法升级 RubyGems，可以应用以下补丁作为变通方法。

• 适用于 Ruby 2.2.9
• 适用于 Ruby 2.3.6
• 适用于 Ruby 2.4.3
• 适用于 Ruby 2.5.0

对于 trunk，请更新到最新 revision。

致谢

本报告基于RubyGems 官方博客。

历史

• 首次发布于 2018-02-17 03:00:00 UTC
• 提及升级 Ruby 版本于 2018-03-29 01:00:00 UTC