CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞

由 hsbt 于 2024 年 3 月 21 日发布

我们已发布 RDoc gem 版本 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1，这些版本包含对 RCE 漏洞的安全修复。该漏洞已被分配 CVE 标识符 CVE-2024-27281。

详情

在 RDoc 6.3.3 至 6.6.2 版本（Ruby 3.x 至 3.3.0 版本中分发）中发现了一个问题。

在解析用作 RDoc 配置的 `.rdoc_options` 文件时，由于没有对可以恢复的类进行限制，因此存在对象注入和由此产生的远程代码执行的可能性。

加载文档缓存时，如果存在一个精心制作的缓存，也可能存在对象注入和由此产生的远程代码执行。

建议操作

我们建议将 RDoc gem 更新到 6.6.3.1 或更高版本。为了确保与旧版 Ruby 系列中的捆绑版本兼容，您可以改为按如下方式更新：

• 对于 Ruby 3.0 用户：更新到 rdoc 6.3.4.1
• 对于 Ruby 3.1 用户：更新到 rdoc 6.4.1.1
• 对于 Ruby 3.2 用户：更新到 rdoc 6.5.1.1

您可以使用 gem update rdoc 来更新它。如果您使用的是 bundler，请在您的 Gemfile 中添加 gem "rdoc", ">= 6.6.3.1"。

注意：6.3.4、6.4.1、6.5.1 和 6.6.3 版本存在不正确的修复。我们建议升级到 6.3.4.1、6.4.1.1、6.5.1.1 和 6.6.3.1 版本，而不是这些版本。

受影响的版本

• Ruby 3.0.6 或更低版本
• Ruby 3.1.4 或更低版本
• Ruby 3.2.3 或更低版本
• Ruby 3.3.0
• RDoc gem 6.3.3 或更低版本，6.4.0 至 6.6.2 版本（不含补丁版本 6.3.4、6.4.1、6.5.1）

致谢

感谢 ooooooo_q 发现此问题。

历史

• 最初发布于 2024-03-21 4:00:00 (UTC)