CVE-2021-31799: Eine Command Injection Schwachstelle in RDoc

Gepostet von aycabta am 2. Mai 2021

Es gibt eine Schwachstelle bei Command Injection in RDoc, das in Ruby gebündelt ist. Es wird empfohlen, dass alle Ruby-Benutzer RDoc auf die neueste Version aktualisieren, die dieses Problem behebt.

Details

Die folgende Schwachstelle wurde gemeldet.

• CVE-2021-31799

RDoc verwendete Kernel#open, um eine lokale Datei zu öffnen. Wenn ein Ruby-Projekt eine Datei hat, deren Name mit | beginnt und mit tags endet, wird der Befehl nach dem Pipe-Zeichen ausgeführt. Ein bösartiges Ruby-Projekt könnte dies ausnutzen, um beliebige Befehle gegen einen Benutzer auszuführen, der versucht, den Befehl rdoc auszuführen.

Ruby-Benutzer, deren RDoc-Version von diesem Problem betroffen ist, sollten auf die neueste Version von RDoc aktualisieren.

Betroffene Versionen

• Alle RDoc-Versionen von 3.11 bis 6.3.0
• Ruby 3.0.2 (enthält RDoc 6.3.1), Ruby 2.7.4 (enthält RDoc 6.2.1.1) und Ruby 2.6.8 (enthält RDoc 6.1.2.1) enthalten Korrekturen und sind nicht betroffen

So aktualisieren Sie

Führen Sie den folgenden Befehl aus, um RDoc auf die neueste Version (6.3.1 oder höher) zu aktualisieren und die Schwachstelle zu beheben.

gem install rdoc

Wenn Sie Bundler verwenden, fügen Sie gem "rdoc", ">= 6.3.1" zu Ihrer Gemfile hinzu.

Credits

Danke an Alexandr Savca für die Meldung des Problems.

Verlauf

• Ursprünglich veröffentlicht am 2021-05-02 09:00:00 UTC
• Erwähnung von Ruby 3.0.2, Ruby 2.7.4 und Ruby 2.6.8 am 2021-07-16 00:02:00 UTC