RubyGems 中的多个漏洞
由 hsbt 发布于 2019 年 3 月 5 日
Ruby 中捆绑的 RubyGems 存在多个漏洞。这已在 RubyGems 官方博客上报告。
详情
已报告以下漏洞。
- CVE-2019-8320:解压 tar 时使用符号链接删除目录
- CVE-2019-8321:
verbose中的转义序列注入漏洞 - CVE-2019-8322:
gem owner中的转义序列注入漏洞 - CVE-2019-8323:API 响应处理中的转义序列注入漏洞
- CVE-2019-8324:安装恶意 gem 可能导致任意代码执行
- CVE-2019-8325:错误信息中的转义序列注入漏洞
强烈建议 Ruby 用户尽快升级您的 Ruby 安装或采取以下任一变通方法。
受影响的版本
- Ruby 2.3 系列:全部
- Ruby 2.4 系列:2.4.5 及更早版本
- Ruby 2.5 系列:2.5.3 及更早版本
- Ruby 2.6 系列:2.6.1 及更早版本
- 主干修订版 67168 之前
变通方法
原则上,您应该将您的 Ruby 安装升级到最新版本。RubyGems 3.0.3 或更高版本包含了针对这些漏洞的修复,因此如果您无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。
gem update --system
如果您无法升级 RubyGems,可以应用以下补丁作为变通方法。
关于 Ruby 主干,请更新到最新修订版。
致谢
本报告基于 RubyGems 官方博客。
历史
- 最初发布于 2019-03-05 00:00:00 UTC
- 更新补丁链接于 2019-03-06 05:26:27 UTC
- 提及升级 Ruby 本身于 2019-04-01 06:00:00 UTC
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日