RDoc 中存在多个 jQuery 漏洞

Ruby 中捆绑的 RDoc 所包含的 jQuery 存在多个跨站脚本 (XSS) 漏洞。建议所有 Ruby 用户将 Ruby 更新到包含修复版 RDoc 的最新版本。

详情

已报告以下漏洞。

强烈建议所有 Ruby 用户尽快升级您的 Ruby 安装,或采取以下解决方法之一。您还需要重新生成现有的 RDoc 文档,以彻底缓解这些漏洞。

受影响的版本

  • Ruby 2.3 系列:所有版本
  • Ruby 2.4 系列:2.4.6 及更早版本
  • Ruby 2.5 系列:2.5.5 及更早版本
  • Ruby 2.6 系列:2.6.3 及更早版本
  • 早于 master 分支提交 f308ab2131ee675000926540cbb8c13c91dc3be5

所需操作

RDoc 是一个静态文档生成工具。修补工具本身不足以缓解这些漏洞。

因此,必须使用较新的 RDoc 重新生成以前版本生成的 RDoc 文档。

解决方法

原则上,您应该将 Ruby 安装升级到最新版本。RDoc 6.1.2 或更高版本包含针对这些漏洞的修复程序,因此如果您无法升级 Ruby 本身,请将 RDoc 升级到最新版本。

请注意,如前所述,您必须重新生成现有的 RDoc 文档。

gem install rdoc -f

更新:此帖子的初始版本部分提到了 rdoc-6.1.1.gem,该版本仍然存在漏洞。请确保您安装的是 rdoc-6.1.2 或更高版本。

关于开发版本,请更新到 master 分支的最新 HEAD。

鸣谢

感谢 Chris Seaton 报告此问题。

历史记录

  • 最初发布于 2019-08-28 09:00:00 UTC
  • RDoc 版本于 2019-08-28 11:50:00 UTC 修复
  • 于 2019-08-28 12:30:00 UTC 进行了少量语言修复