RubyGems 中的多个漏洞

RubyGems 中捆绑的 Ruby 存在多个漏洞。 已在 RubyGems 的官方博客上报告了这些漏洞。

详细信息

已报告以下漏洞。

  • CVE-2019-8320:解压 tar 包时使用符号链接删除目录
  • CVE-2019-8321:verbose 中的转义序列注入漏洞
  • CVE-2019-8322:gem owner 中的转义序列注入漏洞
  • CVE-2019-8323:API 响应处理中的转义序列注入漏洞
  • CVE-2019-8324:安装恶意 gem 可能会导致任意代码执行
  • CVE-2019-8325:错误中的转义序列注入漏洞

强烈建议 Ruby 用户尽快升级 Ruby 安装或采取以下解决方法之一。

受影响版本

  • Ruby 2.3 系列:全部
  • Ruby 2.4 系列:2.4.5 及更早版本
  • Ruby 2.5 系列:2.5.3 及更早版本
  • Ruby 2.6 系列:2.6.1 及更早版本
  • 早于 trunk 修订版 67168 的版本

解决方法

原则上,您应该将 Ruby 安装升级到最新版本。RubyGems 3.0.3 或更高版本包含针对这些漏洞的修复程序,因此如果无法升级 Ruby 本身,请将 RubyGems 升级到最新版本。

gem update --system

如果无法升级 RubyGems,您可以应用以下补丁作为解决方法。

对于 Ruby trunk,请更新到最新版本。

鸣谢

本报告基于 RubyGems 的官方博客

历史记录

  • 最初发布于 2019-03-05 00:00:00 UTC
  • 更新的补丁链接,于 2019-03-06 05:26:27 UTC
  • 提及升级 Ruby 本身,于 2019-04-01 06:00:00 UTC