RDoc 中的多个 jQuery 漏洞

由 aycabta 发布于 2019 年 8 月 28 日

Ruby 中捆绑的 RDoc 中的 jQuery 存在多个跨站脚本（XSS）漏洞。建议所有 Ruby 用户将 Ruby 更新到包含已修复 RDoc 版本的最新版本。

详情

已报告以下漏洞。

• CVE-2012-6708
• CVE-2015-9251

强烈建议所有 Ruby 用户尽快升级您的 Ruby 安装或采取以下一种变通方法。您还必须重新生成现有的 RDoc 文档以完全缓解这些漏洞。

受影响的版本

• Ruby 2.3 系列：所有版本
• Ruby 2.4 系列：2.4.6 及更早版本
• Ruby 2.5 系列：2.5.5 及更早版本
• Ruby 2.6 系列：2.6.3 及更早版本
• 在 master commit f308ab2131ee675000926540cbb8c13c91dc3be5 之前

所需操作

RDoc 是一个静态文档生成工具。仅修补工具本身不足以缓解这些漏洞。

因此，使用先前版本生成的 RDoc 文档必须使用更新的 RDoc 重新生成。

变通方法

原则上，您应该将您的 Ruby 安装升级到最新版本。RDoc 6.1.2 或更高版本包含针对这些漏洞的修复，因此如果您无法升级 Ruby 本身，请将 RDoc 升级到最新版本。

请注意，如前所述，您必须重新生成现有的 RDoc 文档。

gem install rdoc -f

更新：本文的初始版本部分提到了 rdoc-6.1.1.gem，该版本仍存在漏洞。请确保您安装的是 rdoc-6.1.2 或更高版本。

关于开发版本，请更新到 master 分支的最新 HEAD。

致谢

感谢 Chris Seaton 报告此问题。

历史

• 最初发布于 2019-08-28 09:00:00 UTC
• RDoc 版本修复于 2019-08-28 11:50:00 UTC
• 语言微调于 2019-08-28 12:30:00 UTC