FileUtils ist anfällig für Symlink-Race-Angriffe
Gepostet von Urabe Shyouhei am 18. Feb 2011
Eine Symlink-Race-Condition-Schwachstelle wurde in FileUtils.remove_entry_secure gefunden. Die Schwachstelle ermöglicht es lokalen Benutzern, beliebige Dateien und Verzeichnisse zu löschen.
Betroffene Versionen
- Ruby 1.8.6 patchlevel 420 und alle früheren Versionen
- Ruby 1.8.7 patchlevel 330 und alle früheren Versionen
- Entwicklungsversionen von Ruby 1.8 (1.8.8dev)
- Ruby 1.9.1 patchlevel 430 und alle früheren Versionen
- Ruby 1.9.2 patchlevel 136 und alle früheren Versionen
- Entwicklungsversionen von Ruby 1.9 (1.9.3dev)
Lösungen
Wir haben diese Situation behoben. Alle betroffenen Benutzer werden ermutigt, ihre Ruby-Installation zu aktualisieren.
Bitte beachten Sie jedoch, dass Symlink-Race-Angriffe unvermeidlich sind, wenn eines der übergeordneten Verzeichnisse, aus denen Sie löschen möchten, jemandem gehört, dem Sie nicht vertrauen. Wenn Sie also sicher sein wollen, müssen Sie sicherstellen, dass **ALLE** übergeordneten Verzeichnisse nicht von anderen nicht vertrauenswürdigen Benutzern verschoben werden können. Beispielsweise sollten übergeordnete Verzeichnisse nicht im Besitz von nicht vertrauenswürdigen Benutzern sein und nicht für alle schreibbar sein, es sei denn, das Sticky-Bit ist gesetzt.
Aktualisierungen
- Tippfehler behoben. (vulnerabile -> vulnerable)
- 1.8.7-334 wurde veröffentlicht, um dieses Problem zu beheben. 1.8.7-Benutzer werden ermutigt, ein Upgrade durchzuführen.
- 1.9.1-p431 wurde veröffentlicht, um dieses Problem zu beheben. 1.9.1-Benutzer werden ermutigt, ein Upgrade durchzuführen.
- 1.9.2-p180 wurde veröffentlicht, um dieses Problem zu beheben. 1.9.2-Benutzer werden ermutigt, ein Upgrade durchzuführen.
- Betroffene Versionen für die 1.9-Serie korrigiert.
Aktuelle Nachrichten
Ruby 4.0.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 4.0.0 bekannt zu geben. Ruby 4.0 führt „Ruby Box“ und „ZJIT“ ein und bringt viele Verbesserungen mit sich.
Veröffentlicht von naruse am 25. Dez 2025
Ein neuer Look für Rubys Dokumentation
Nach dem Redesign von ruby-lang.org gibt es weitere Neuigkeiten zur Feier des 30-jährigen Jubiläums von Ruby: docs.ruby-lang.org hat ein komplett neues Erscheinungsbild mit Aliki – dem neuen Standard-Theme von RDoc.
Veröffentlicht von Stan Lo am 23. Dez 2025
Neues Website-Erscheinungsbild
Wir freuen uns, ein umfassendes Redesign unserer Website bekannt zu geben. Das Design für dieses Update wurde von Taeko Akatsuka erstellt.
Veröffentlicht von Hiroshi SHIBATA am 22. Dez 2025
Ruby 4.0.0 preview3 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 4.0.0-preview3 bekannt zu geben. Ruby 4.0 führt Ruby::Box und „ZJIT“ ein und bringt viele Verbesserungen mit sich.
Veröffentlicht von naruse am 18. Dez 2025