Ditulis oleh aycabta tanggal 2021-05-02
Diterjemahkan oleh meisyal
Ada sebuah kerentanan Command Injection pada RDoc yang di-bundle dengan Ruby. Semua pengguna Ruby direkomendasikan untuk memperbarui RDoc ke versi terbaru untuk memperbaiki kerentanan ini.
Detail
Berikut adalah kerentanan yang telah dilaporkan.
RDoc sebelumnya memanggil Kernel#open untuk membuat sebuah berkas lokal. Jika
sebuah proyek Ruby memiliki sebuah berkas yang mana nama berkas dimulai dengan
| dan diakhiri tags, perintah yang mengikuti karater pipa akan dieksekusi.
Sebuah proyek Ruby yang berbahaya bisa saja memanfaatkan ini untuk menjalankan
sebuah perintah yang tidak seharusnya pada seorang pengguna yang mencoba untuk
menjalankan perintah rdoc.
Pengguna Ruby yang terimbas dengan kerentanan ini seharusnya memperbarui RDoc ke versi terbaru.
Versi Terimbas
- Semua rilis RDoc dari 3.11 sampai 6.3.0
Cara Memperbarui
Jalankan perintah berikut untuk memperbarui RDoc ke versi terbaru (6.3.1 atau setelahnya).
gem install rdoc
Jika Anda menggunakan bundler, mohon tambahkan gem "rdoc", ">= 6.3.1" pada
Gemfile Anda.
Rujukan
Terima kasih kepada Alexandr Savca yang telah melaporkan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2021-05-02 09:00:00 UTC