CVE-2021-31810:Net::FTP 中信任 FTP PASV 响应的漏洞

在 Net::FTP 中发现了一个信任 FTP PASV 响应的漏洞。此漏洞已被分配 CVE 标识符 CVE-2021-31810。我们强烈建议升级 Ruby。

net-ftp 是 Ruby 3.0.1 中的默认 gem,但它存在打包问题,因此请升级 Ruby 本身。

详细信息

恶意的 FTP 服务器可以使用 PASV 响应来欺骗 Net::FTP 连接回给定的 IP 地址和端口。这可能会导致 Net::FTP 提取有关其他私有且未公开的服务的信息(例如,攻击者可以进行端口扫描和服务横幅提取)。

受影响的版本

  • Ruby 2.6 系列:2.6.7 及更早版本
  • Ruby 2.7 系列:2.7.3 及更早版本
  • Ruby 3.0 系列:3.0.1 及更早版本

鸣谢

感谢 Alexandr Savca 报告此问题。

历史记录

  • 最初发布于 2021-07-07 09:00:00 UTC