Ditulis oleh mame tanggal 2019-10-01
Diterjemahkan oleh meisyal
Sebuah kerentanan injeksi NUL dari method yang ada di dalam Ruby
(File.fnmatch dan File.fnmatch?) ditemukan. Seorang penyerang yang memiliki
kendali terhadap parameter path pattern bisa saja memanfaatkan kerentanan
ini untuk membuat path matching lolos terlepas dari maksud penulis program.
CVE-2019-15845
telah ditetapkan sebagai kerentanan ini.
Detail
Method File.fnmatch dan aliasnya File.fnmatch? menerima path pattern
sebagai parameter pertamanya. Ketika pattern mengandung karakter NUL (\0),
method ini mengenali bahwa path pattern berakhir seketika sebelum
NUL byte. Sehingga, sebuah skrip yang menggunakan input eksternal sebagai
argumen parameter, seorang penyerang dapat membuat salah kecocokan sebuah
pathname yang merupakan parameter kedua.
Semua pengguna yang terimbas dengan rilis ini seharusnya memperbarui segera mungkin.
Versi Terimbas
- Semua rilis Ruby 2.3 atau sebelumnya
- Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
- Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
- Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
- Ruby 2.7.0-preview1
- sebelum commit master a0a2640b398cffd351f87d3f6243103add66575b
Rujukan
Terima kasih kepada ooooooo_q yang telah menemukan masalah ini.
Riwayat
- Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)