CVE-2018-16396: Tainted-Flags werden nicht in Array#pack und String#unpack mit einigen Direktiven weitergegeben

Veröffentlicht von usa am 17. Okt 2018

Bei Array#pack und String#unpack mit einigen Formaten werden die "tainted"-Flags der Originaldaten nicht an den zurückgegebenen String/Array weitergegeben. Diese Schwachstelle wurde unter der CVE-Kennung CVE-2018-16396 zugewiesen.

Details

Die Methode Array#pack konvertiert den Inhalt des Empfängers in einen String mit einem angegebenen Format. Wenn der Empfänger einige getaintete Objekte enthält, sollte der zurückgegebene String ebenfalls getaintet sein. Die Methode String#unpack, die den Empfänger in ein Array konvertiert, sollte ebenfalls ihr Taint-Flag an die Objekte im zurückgegebenen Array weitergeben. Mit den Direktiven B, b, H und h werden die Taint-Flags jedoch nicht weitergegeben. Wenn also ein Skript nicht vertrauenswürdige Eingaben mit Array#pack und/oder String#unpack mit diesen Direktiven verarbeitet und die Vertrauenswürdigkeit anhand der Taint-Flags prüft, kann die Prüfung falsch sein.

Alle Benutzer, die eine betroffene Version verwenden, sollten sofort ein Upgrade durchführen.

Betroffene Versionen

• Ruby 2.3 Serie: 2.3.7 und früher
• Ruby 2.4 Serie: 2.4.4 und früher
• Ruby 2.5 Serie: 2.5.1 und früher
• Ruby 2.6 Serie: 2.6.0-preview2 und früher
• vor Trunk-Revision r65125

Danksagung

Vielen Dank an Chris Seaton für die Meldung des Problems.

Verlauf

• Ursprünglich veröffentlicht am 2018-10-17 14:00:00 (UTC)