CVE-2017-17405: Vulnerabilidade de injeção de comandos em Net::FTP

Escrito por nagachika em 14/12/2017
Traduzido por fpgentil

Existe uma vulnerabilidade de injeção de comandos em Net::FTP junto do Ruby. Essa vulnerabilidade foi atribuída ao identificador CVE-2017-17405.

Detalhes

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, e puttextfile usam Kernel#open para abrir um arquivo local. Se o argumento de localfile inicia com o caractere barra vertical (pipe) "|", o comando seguido do pipe é executado. O valor padrão de localfile é File.basename(remotefile), então servidores FTP maliciosos podem executar comandos aleatórios.

Todos usuários executando uma versão afetada devem atualizá-la imediatamente.

Versões Afetadas

Série do Ruby 2.2: 2.2.8 e anteriores
Série do Ruby 2.3: 2.3.5 e anteriores
Série do Ruby 2.4: 2.4.2 e anteriores
Série do Ruby 2.5: 2.5.0-preview1
anteriores ao trunk r61242

Créditos

Obrigado a Etienne Stalmans do time de segurança do Heroku por reportar o issue.

Histórico

Publicado originalmente em 2017-12-14 16:00:00 (UTC)

Ruby

O melhor amigo do programador

CVE-2017-17405: Vulnerabilidade de injeção de comandos em Net::FTP

Detalhes

Versões Afetadas

Créditos

Histórico

Notícias Recentes

Feeds de notícias (RSS)