Mehrere Schwachstellen in RubyGems

Gepostet von hsbt am 5. Mär 2019

Es gibt mehrere Schwachstellen in RubyGems, das mit Ruby gebündelt ist. Es wird auf dem offiziellen Blog von RubyGems berichtet.

Details

Die folgenden Schwachstellen wurden gemeldet.

• CVE-2019-8320: Löschen eines Verzeichnisses mittels Symlink beim Dekomprimieren eines Tarballs
• CVE-2019-8321: Escape-Sequenz-Einschleusungsschwachstelle in verbose
• CVE-2019-8322: Escape-Sequenz-Einschleusungsschwachstelle in gem owner
• CVE-2019-8323: Escape-Sequenz-Einschleusungsschwachstelle bei der Behandlung von API-Antworten
• CVE-2019-8324: Die Installation eines bösartigen Gems kann zur Ausführung von beliebigem Code führen
• CVE-2019-8325: Escape-Sequenz-Einschleusungsschwachstelle in Fehlermeldungen

Es wird dringend empfohlen, dass Ruby-Benutzer ihre Ruby-Installation so bald wie möglich aktualisieren oder eine der folgenden Problemumgehungen anwenden.

Betroffene Versionen

• Ruby 2.3-Serie: alle
• Ruby 2.4-Serie: 2.4.5 und früher
• Ruby 2.5-Serie: 2.5.3 und früher
• Ruby 2.6-Serie: 2.6.1 und früher
• vor Trunk-Revision 67168

Problemumgehungen

Grundsätzlich sollten Sie Ihre Ruby-Installation auf die neueste Version aktualisieren. RubyGems 3.0.3 oder neuer enthält die Korrektur für die Schwachstellen. Aktualisieren Sie RubyGems auf die neueste Version, wenn Sie Ruby selbst nicht aktualisieren können.

gem update --system

Wenn Sie RubyGems nicht aktualisieren können, können Sie die folgenden Patches als Problemumgehung anwenden.

• für Ruby 2.4.5
• für Ruby 2.5.3
• für Ruby 2.6.1

Aktualisieren Sie für den Ruby-Trunk auf die neueste Revision.

Credits

Dieser Bericht basiert auf dem offiziellen Blog von RubyGems.

Verlauf

• Ursprünglich veröffentlicht am 2019-03-05 00:00:00 UTC
• Link zu aktualisierten Patches am 2019-03-06 05:26:27 UTC
• Erwähnung der Aktualisierung von Ruby selbst am 2019-04-01 06:00:00 UTC