CVE-2019-15845: Eine NUL-Injection-Schwachstelle von File.fnmatch und File.fnmatch?

Gepostet von mame am 1. Okt 2019

Eine NUL-Injection-Schwachstelle in den Ruby-eingebauten Methoden (File.fnmatch und File.fnmatch?) wurde gefunden. Ein Angreifer, der die Kontrolle über den Pf Landon-Parameter hat, könnte diese Schwachstelle ausnutzen, um zu bewirken, dass die Pfadübereinstimmung trotz der Absicht des Programmautors bestanden wird. CVE-2019-15845 wurde dieser Schwachstelle zugewiesen.

Details

Die integrierten Methoden File.fnmatch und ihr Alias File.fnmatch? akzeptieren das Pflegemuster als ersten Parameter. Wenn das Muster ein NUL-Zeichen (\0) enthält, erkennen die Methoden, dass das Pflegemuster unmittelbar vor dem NUL-Byte endet. Daher kann ein Angreifer, der eine externe Eingabe als Musterargument verwendet, dazu führen, dass ein Pfad, der der zweite Parameter ist, fälschlicherweise abgeglichen wird.

Alle Benutzer, die betroffene Versionen verwenden, sollten so bald wie möglich ein Upgrade durchführen.

Betroffene Versionen

• Alle Versionen, die Ruby 2.3 oder früher sind
• Ruby 2.4 Serie: Ruby 2.4.7 oder früher
• Ruby 2.5 Serie: Ruby 2.5.6 oder früher
• Ruby 2.6 Serie: Ruby 2.6.4 oder früher
• Ruby 2.7.0-preview1
• vor dem Master-Commit a0a2640b398cffd351f87d3f6243103add66575b

Danksagung

Vielen Dank an ooooooo_q für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2019-10-01 11:00:00 (UTC)