Множественные уязвимости jQuery в RDoc

Обнаружено несколько уязвимостей межсайтового скриптинга (XSS) в jQuery, поставляемой с RDoc, который входит в состав Ruby. Всем пользователям Ruby рекомендуется обновить Ruby до последней версии, которая включает в себя исправленную версию RDoc.

Детали

Были зарегистрированы следующие уязвимости.

Всем пользователям Ruby настоятельно рекомендуется как можно скорее обновить Ruby или воспользоваться одним из следующих способов устранения проблем. Также вам понадобится повторно перегенерировать существующие документы RDoc, чтобы полностью исключить уязвимости.

Уязвимые Версии

  • Серия Ruby 2.3: все
  • Серия Ruby 2.4: 2.4.6 и меньше
  • Серия Ruby 2.5: 2.5.5 и меньше
  • Серия Ruby 2.6: 2.6.3 и меньше
  • до мастер-коммита f308ab2131ee675000926540cbb8c13c91dc3be5

Требуемые Действия

RDoc-это инструмент для создания статической документации. Исправления самого инструмента недостаточно для устранения этих уязвимостей.

Таким образом, документы RDoc, сгенерированные в предыдущих версиях, должны быть повторно сгенерированы с более новым RDoc.

Временное Решение

В принципе, вы должны обновить Ruby до последней версии. RDoc 6.1.2 или более поздней версии содержит исправление уязвимостей, поэтому обновите RDoc до последней версии, если вы не можете обновить сам Ruby.

Обратите внимание, что, как упоминалось ранее, необходимо повторно пересоздать существующие документы RDoc.

gem install rdoc -f

Обновлено: В первоначальной версии этого поста частично упоминается rdoc-6.1.1.gem, который все еще был уязвим. Пожалуйста, убедитесь, что вы установили rdoc-6.1.2 или новее.

Что касается разрабатываемой версии, обновите ее до последней HEAD из мастер-ветки.

Благодарности

Спасибо Chris Seaton за то что сообщил о проблеме.

Хронология

  • Первоначально опубликовано в 2019-08-28 09:00:00 UTC
  • Версия RDoc исправлена в 2019-08-28 11:50:00 UTC
  • Незначительные языковые исправления в 2019-08-28 12:30:00 UTC