CVE-2017-17405: Vulnerabilidad de inyección de ordenes en Net::FTP

Publicado por nagachika el 2017-12-14
Traducción de vtamara

Hay una vulnerabilidad de inyección de ordenes en el Net::FTP incluido en Ruby. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2017-17405.

Detalles

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, y puttextfile usan Kernel#open para abrir archivos locales. Si el argumento localfile comienza con el caracter tubería "|", la orden que sigue al caracter tubería se ejecuta. El valor por omisión de localfile es File.basename(remotefile), así que un servidor FTP malicioso podría causar la ejecución arbitraría de una orden.

Todos los usuarios que corren la versión afectada deben actualizar de inmediato.

Versiones afectadas

Serie Ruby 2.2: 2.2.8 y anteriores
Serie Ruby 2.3: 2.3.5 y anteriores
Serie Ruby 2.4: 2.4.2 y anteriores
Serie Ruby 2.5: 2.5.0-preview1
anteriores a la versión trunk r61242

Credito

Gracias a Etienne Stalmans del equipo de seguridad del proyecto Heroku por reportar el problema.

Historia

Publicado originalmente en inglés el 2017-12-14 16:00:00 (UTC)

Ruby

El mejor amigo de un desarrollador

CVE-2017-17405: Vulnerabilidad de inyección de ordenes en Net::FTP

Detalles

Versiones afectadas

Credito

Historia

Noticias recientes

Feeds de noticias (RSS)