RubyGems 多個安全性風險

Ruby 內建的 RubyGems 發現帶有多個安全性風險。 RubyGems 官方部落格對此事的說明

詳情

以下為已回報的安全性風險

  • CVE-2019-8320:解壓縮時 tar 時使用 symlink 刪除目錄。
  • CVE-2019-8321:verbose 中的轉義序列注入安全性風險。
  • CVE-2019-8322:gem owner 中的轉義序列注入安全性風險。
  • CVE-2019-8323:API 回應處理中的轉義序列注入安全性風險。
  • CVE-2019-8324:安裝惡意 gem 後導致任意程式碼被執行。
  • CVE-2019-8325:errors 中的轉義序列注入安全性風險。

強烈建議 Ruby 使用者儘速採用下列任一個因應措施。

受影響版本

  • Ruby 2.4 系列:2.4.5 以及之前的版本
  • Ruby 2.5 系列:2.5.3 以及之前的版本
  • Ruby 2.6 系列:2.6.1 以及之前的版本
  • trunk revision 67168 之前的版本

因應措施

RubyGems 2.7.9/3.0.3 及後續版本修正了上述風險,請將 RubyGems 升級至最新版。

gem update --system

若你無法升級 RubyGems,你可以使用補丁作為應急。

至於 trunk 則是更新到最新版本即可。

致謝

本文基於 RubyGems 官方部落格的這篇文章.

歷史

  • 初次發佈於 2019-03-05 00:00:00 UTC