由 aycabta 于 2019 年 8 月 28 日发布
Ruby 中捆绑的 RDoc 所包含的 jQuery 存在多个跨站脚本 (XSS) 漏洞。建议所有 Ruby 用户将 Ruby 更新到包含修复版 RDoc 的最新版本。
详情
已报告以下漏洞。
强烈建议所有 Ruby 用户尽快升级您的 Ruby 安装,或采取以下解决方法之一。您还需要重新生成现有的 RDoc 文档,以彻底缓解这些漏洞。
受影响的版本
- Ruby 2.3 系列:所有版本
- Ruby 2.4 系列:2.4.6 及更早版本
- Ruby 2.5 系列:2.5.5 及更早版本
- Ruby 2.6 系列:2.6.3 及更早版本
- 早于 master 分支提交 f308ab2131ee675000926540cbb8c13c91dc3be5
所需操作
RDoc 是一个静态文档生成工具。修补工具本身不足以缓解这些漏洞。
因此,必须使用较新的 RDoc 重新生成以前版本生成的 RDoc 文档。
解决方法
原则上,您应该将 Ruby 安装升级到最新版本。RDoc 6.1.2 或更高版本包含针对这些漏洞的修复程序,因此如果您无法升级 Ruby 本身,请将 RDoc 升级到最新版本。
请注意,如前所述,您必须重新生成现有的 RDoc 文档。
gem install rdoc -f
更新:此帖子的初始版本部分提到了 rdoc-6.1.1.gem,该版本仍然存在漏洞。请确保您安装的是 rdoc-6.1.2 或更高版本。
关于开发版本,请更新到 master 分支的最新 HEAD。
鸣谢
感谢 Chris Seaton 报告此问题。
历史记录
- 最初发布于 2019-08-28 09:00:00 UTC
- RDoc 版本于 2019-08-28 11:50:00 UTC 修复
- 于 2019-08-28 12:30:00 UTC 进行了少量语言修复