Ruby-Sicherheitslücke in den Safe-Level-Einstellungen
Gepostet von Matz am 3. Okt 2005
Die unten aufgeführten Ruby-Versionen enthalten eine Sicherheitslücke, die das Ausführen von beliebigem Code unter Umgehung der Safe-Level-Prüfung ermöglicht.
Date published: 2005-10-02
Versions affected:
Stable releases(1.8.x) - Versions 1.8.2 and earlier (fixed on Version 1.8.3)
Old releases(1.6.x) - Versions 1.6.8 and earlier
Development versions(1.9.0) - Versions 2005-09-01 and earlier (fixed on Version 2005-09-02)
Lösung
Benutzer von stabilen Releases (1.8.x) und Entwicklungsversionen (1.9.0) sollten Ruby auf die oben genannten neuesten Versionen aktualisieren. Benutzer von alten Releases (1.6.x) sollten auf die stabilen Releases (1.8.x) aktualisieren oder den neuesten Snapshot für 1.6.x von der unten stehenden URL herunterladen, kompilieren und installieren.
https://cache.ruby-lang.org/pub/ruby/snapshot-1.6.tar.gz
Ein Patch von ruby-1.6.8.tar.gz ist ebenfalls unter der folgenden Adresse verfügbar
https://cache.ruby-lang.org/pub/ruby/1.6/1.6.8-patch1.gz
md5sum: 7a97381d61576e68aec94d60bc4cbbab
Ein Patch von ruby-1.8.2.tar.gz ist ebenfalls unter der folgenden Adresse verfügbar
https://cache.ruby-lang.org/pub/ruby/1.8/1.8.2-patch1.gz
md5sum: 4f32bae4546421a20a9211253da103d3
Beschreibung
Die objektorientierte Skriptsprache Ruby unterstützt die sichere Ausführung von nicht vertrauenswürdigem Code mithilfe von zwei Mechanismen: dem Safe Level und dem Taint-Flag für Objekte. Es wurde eine Sicherheitslücke gefunden, die die Umgehung dieser Mechanismen ermöglicht. Durch Ausnutzung der Sicherheitslücke kann beliebiger Code ausgeführt werden, der über die in jedem Safe Level festgelegten Beschränkungen hinausgeht. Daher muss Ruby auf allen Systemen, die Safe Level zur Ausführung von nicht vertrauenswürdigem Code verwenden, aktualisiert werden.
Referenz
JVN#62914675 http://jvn.jp/jp/JVN%2362914675/index.html (auf Japanisch)
Danksagung
Wir danken Dr. Yutaka Oiwa vom Research Center for Information Security, National Institute of Advanced Industrial Science and Technology, der die Sicherheitslücke gefunden hat, die die Umgehung des Safe Levels ermöglicht.
Aktuelle Nachrichten
Ruby 4.0.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 4.0.0 bekannt zu geben. Ruby 4.0 führt „Ruby Box“ und „ZJIT“ ein und bringt viele Verbesserungen mit sich.
Veröffentlicht von naruse am 25. Dez 2025
Ein neuer Look für Rubys Dokumentation
Nach dem Redesign von ruby-lang.org gibt es weitere Neuigkeiten zur Feier des 30-jährigen Jubiläums von Ruby: docs.ruby-lang.org hat ein komplett neues Erscheinungsbild mit Aliki – dem neuen Standard-Theme von RDoc.
Veröffentlicht von Stan Lo am 23. Dez 2025
Neues Website-Erscheinungsbild
Wir freuen uns, ein umfassendes Redesign unserer Website bekannt zu geben. Das Design für dieses Update wurde von Taeko Akatsuka erstellt.
Veröffentlicht von Hiroshi SHIBATA am 22. Dez 2025
Ruby 4.0.0 preview3 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 4.0.0-preview3 bekannt zu geben. Ruby 4.0 führt Ruby::Box und „ZJIT“ ein und bringt viele Verbesserungen mit sich.
Veröffentlicht von naruse am 18. Dez 2025