Ditulis oleh usa tanggal 2018-03-28
Diterjemahkan oleh meisyal
Ada sebuah directory traversal yang tidak disengaja pada beberapa method
pada Dir. Kerentanan ini telah ditetapkan sebagai penanda CVE
CVE-2018-8780.
Detail
Dir.open, Dir.new, Dir.entries dan Dir.empty? menerima path dari
directory target sebagai parameternya. Jika parameter mengandung NUL (\0)
bytes, method-method ini mengenali path tersebut lengkap sebelum NUL
bytes. Sehingga, jika sebuah skrip menerima sebuah masukan dari luar sebagai
argumen dari method-method ini, penyerang dapat membuat directory traversal
yang tidak sengaja.
Semua pengguna yang terimbas rilis ini seharusnya segera memperbarui.
Versi Terimbas
- Rangkaian Ruby 2.2: 2.2.9 dan sebelumnya
- Rangkaian Ruby 2.3: 2.3.6 dan sebelumnya
- Rangkaian Ruby 2.4: 2.4.3 dan sebelumnya
- Rangkaian Ruby 2.5: 2.5.0 dan sebelumnya
- Rangkaian Ruby 2.6L 2.6.0-preview1
- sebelum revisi trunk r62989
Rujukan
Terima kasih kepada ooooooo_q atas laporan masalah ini.
Riwayat
- Semula dipublikasikan pada 2018-03-28 14:00:00 (UTC)