CVE-2021-31810: Net::FTP 中信任 FTP PASV 响应的漏洞

由 shugo 发布于 2021年7月7日

在 Net::FTP 中发现了一个信任 PASV 响应的漏洞。该漏洞已分配 CVE 标识符 CVE-2021-31810。我们强烈建议升级 Ruby。

net-ftp 是 Ruby 3.0.1 的默认 gem，但存在打包问题，请升级 Ruby 本身。

详情

恶意的 FTP 服务器可以使用 PASV 响应来欺骗 Net::FTP 连接回指定的 IP 地址和端口。这可能使 Net::FTP 能够提取本应私密且不公开的服务信息（例如，攻击者可以进行端口扫描和提取服务横幅）。

受影响的版本

• Ruby 2.6 系列：2.6.7 及更早版本
• Ruby 2.7 系列：2.7.3 及更早版本
• Ruby 3.0 系列：3.0.1 及更早版本

致谢

感谢 Alexandr Savca 报告此问题。

历史

• 最初发布于 2021-07-07 09:00:00 UTC