发布者:hsbt,于 2019 年 3 月 5 日
RubyGems 中捆绑的 Ruby 存在多个漏洞。 已在 RubyGems 的官方博客上报告了这些漏洞。
详细信息
已报告以下漏洞。
- CVE-2019-8320:解压 tar 包时使用符号链接删除目录
- CVE-2019-8321:
verbose
中的转义序列注入漏洞 - CVE-2019-8322:
gem owner
中的转义序列注入漏洞 - CVE-2019-8323:API 响应处理中的转义序列注入漏洞
- CVE-2019-8324:安装恶意 gem 可能会导致任意代码执行
- CVE-2019-8325:错误中的转义序列注入漏洞
强烈建议 Ruby 用户尽快升级 Ruby 安装或采取以下解决方法之一。
受影响版本
- Ruby 2.3 系列:全部
- Ruby 2.4 系列:2.4.5 及更早版本
- Ruby 2.5 系列:2.5.3 及更早版本
- Ruby 2.6 系列:2.6.1 及更早版本
- 早于 trunk 修订版 67168 的版本
解决方法
原则上,您应该将 Ruby 安装升级到最新版本。RubyGems 3.0.3 或更高版本包含针对这些漏洞的修复程序,因此如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。
gem update --system
如果无法升级 RubyGems,您可以应用以下补丁作为解决方法。
对于 Ruby trunk,请更新到最新版本。
鸣谢
本报告基于 RubyGems 的官方博客。
历史记录
- 最初发布于 2019-03-05 00:00:00 UTC
- 更新的补丁链接,于 2019-03-06 05:26:27 UTC
- 提及升级 Ruby 本身,于 2019-04-01 06:00:00 UTC