CVE-2019-16255: Shell#[] 和 Shell#test 中的代码注入漏洞

由 mame 发布于 2019 年 10 月 1 日

在标准库（lib/shell.rb）中的 Shell#[] 和 Shell#test 中存在代码注入漏洞。此漏洞已被分配 CVE 标识符 CVE-2019-16255。

详情

lib/shell.rb 中定义的 Shell#[] 及其别名 Shell#test，如果第一个参数（即“command”参数）是不可信数据，则允许代码注入。攻击者可以利用此漏洞调用任意 Ruby 方法。

请注意，将不可信数据传递给 Shell 的方法通常很危险。用户绝不应该这样做。但是，我们将这种情况视为一个漏洞，因为 Shell#[] 和 Shell#test 的目的是文件测试。

所有运行受影响版本的用户都应立即升级。

受影响的版本

• Ruby 2.3或更早的所有版本
• Ruby 2.4系列：Ruby 2.4.7或更早版本
• Ruby 2.5系列：Ruby 2.5.6或更早版本
• Ruby 2.6系列：Ruby 2.6.4或更早版本
• Ruby 2.7.0-preview1

致谢

感谢 ooooooo_q 发现此问题。

历史

• 最初发布于 2019-10-01 11:00:00 (UTC)
• 已于 2019-10-05 12:00:00 (UTC) 修正了拼写错误