CVE-2017-17405: Command-Injection-Schwachstelle in Net::FTP

Gepostet von nagachika am 14. Dez 2017

Es gibt eine Command-Injection-Schwachstelle in Net::FTP, das mit Ruby gebündelt ist. Dieser Schwachstelle wurde die CVE-ID CVE-2017-17405 zugewiesen.

Details

Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile und puttextfile verwenden Kernel#open, um eine lokale Datei zu öffnen. Wenn das Argument localfile mit dem Pipe-Zeichen "|" beginnt, wird der Befehl nach dem Pipe-Zeichen ausgeführt. Der Standardwert für localfile ist File.basename(remotefile), sodass bösartige FTP-Server die Ausführung beliebiger Befehle verursachen könnten.

Alle Benutzer, die eine betroffene Version verwenden, sollten sofort ein Upgrade durchführen.

Betroffene Versionen

• Ruby 2.2 Serie: 2.2.8 und früher
• Ruby 2.3 Serie: 2.3.5 und früher
• Ruby 2.4 Serie: 2.4.2 und früher
• Ruby 2.5 Serie: 2.5.0-preview1
• vor Trunk Revision r61242

Danksagung

Vielen Dank an Etienne Stalmans vom Heroku-Produktsicherheitsteam für die Meldung des Problems.

Verlauf

• Ursprünglich veröffentlicht am 2017-12-14 16:00:00 (UTC)