Geschrieben von mame am 1.10.2019
Übersetzt von Marvin Gülker
Es wurde eine Sicherheitslücke in den Methoden Shell#[] und Shell#test der Standardbibliothek (lib/shell.rb) gefunden. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2019-16255 zugewiesen.
Details
Die Methode Shell#[] und ihr Alias Shell#test sind in lib/shell.rb definiert. Die Übergabe nicht vertrauenswürdiger Daten als erstes Argument („command“) erlaubt die Einschleusung von Code (code injection). Dies kann ein Angreifer ausnutzen, um eine beliebige Ruby-Methode auszuführen.
Bitte beachten Sie, dass die Übergabe nicht vertrauenswürdiger Daten
an Methoden von Shell generell gefährlich ist. Nutzer dürfen soetwas
nicht tun. Wir behandeln den vorliegenden Fall allerdings besonders,
weil wir es als einen Zweck von Shell#[] und Shell#test ansehen,
Dateien zu überprüfen.
Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.
Betroffene Versionen
- Alle Ruby-Versionen bis einschließlich Ruby 2.3
- Ruby 2.4er-Serie: Ruby 2.4.7 und früher
- Ruby 2.5er-Serie: Ruby 2.5.6 und früher
- Ruby 2.6er-Serie: Ruby 2.6.4 und früher
- Ruby 2.7.0-preview1
Danksagung
Danke an ooooooo_q, der das Problem entdeckt hat.
Historie
- Erstveröffentlichung am 2019-10-01 11:00:00 (UTC)