Mehrere Schwachstellen in RubyGems

Gepostet von usa am 29. August 2017

Es gibt mehrere Schwachstellen in RubyGems, die von Ruby gebündelt werden. Dies ist auf dem offiziellen Blog von RubyGems berichtet.

Details

Die folgenden Schwachstellen wurden gemeldet.

• Eine Schwachstelle beim Hijacking von DNS-Anfragen. (CVE-2017-0902)
• Eine Schwachstelle für ANSI-Escape-Sequenzen. (CVE-2017-0899)
• Eine DoS-Schwachstelle im Query-Befehl. (CVE-2017-0900)
• Eine Schwachstelle im Gem-Installer, die es einem bösartigen Gem ermöglichte, beliebige Dateien zu überschreiben. (CVE-2017-0901)

Es wird dringend empfohlen, dass Ruby-Benutzer so schnell wie möglich ein Upgrade durchführen oder einen der folgenden Workarounds anwenden.

Betroffene Versionen

• Ruby 2.2-Serie: 2.2.7 und früher
• Ruby 2.3-Serie: 2.3.4 und früher
• Ruby 2.4-Serie: 2.4.1 und früher
• vor Trunk-Revision 59672

Problemumgehungen

Wenn Sie Ruby selbst nicht aktualisieren können, aktualisieren Sie RubyGems auf die neueste Version. RubyGems 2.6.13 oder neuer enthält die Behebung der Schwachstellen.

gem update --system

Wenn Sie RubyGems nicht aktualisieren können, können Sie die folgenden Patches als Problemumgehung anwenden.

• für Ruby 2.2.7
• für Ruby 2.3.4
• für Ruby 2.4.1: Benötigt 2 Patches. Sequenziell wie folgt anwenden
  1. RubyGems 2.6.11 auf 2.6.12
  2. RubyGems 2.6.12 auf 2.6.13

Für den Trunk, aktualisieren Sie auf die neueste Revision.

Credits

Dieser Bericht basiert auf dem offiziellen Blog von RubyGems.

Verlauf

• Ursprünglich veröffentlicht am 29. August 2017, 12:00:00 UTC
• CVE-Nummern hinzugefügt am 31. August 2017, 2:00:00 UTC
• Hinweis zur Aktualisierung von Rubys am 15. September 2017, 12:00:00 UTC