CVE-2024-27281: RCE-Schwachstelle mit .rdoc_options in RDoc

Gepostet von hsbt am 21 Mär 2024

Wir haben die RDoc-Gem-Versionen 6.3.4.1, 6.4.1.1, 6.5.1.1 und 6.6.3.1 veröffentlicht, die eine Sicherheitskorrektur für eine RCE-Schwachstelle enthalten. Diese Schwachstelle hat die CVE-ID CVE-2024-27281 erhalten.

Details

Es wurde ein Problem in RDoc 6.3.3 bis 6.6.2 entdeckt, das in Ruby 3.x bis 3.3.0 enthalten ist.

Beim Parsen von .rdoc_options (das für die Konfiguration in RDoc verwendet wird) als YAML-Datei sind Object Injection und die daraus resultierende Remote Code Execution möglich, da es keine Einschränkungen für die wiederherzustellenden Klassen gibt.

Beim Laden des Dokumentationscaches sind Object Injection und die daraus resultierende Remote Code Execution ebenfalls möglich, wenn ein manipulierter Cache vorhanden wäre.

Empfohlene Maßnahmen

Wir empfehlen, das RDoc-Gem auf Version 6.6.3.1 oder höher zu aktualisieren. Um die Kompatibilität mit der gebündelten Version in älteren Ruby-Serien zu gewährleisten, können Sie stattdessen wie folgt aktualisieren:

• Für Ruby 3.0-Benutzer: Aktualisieren Sie auf rdoc 6.3.4.1
• Für Ruby 3.1-Benutzer: Aktualisieren Sie auf rdoc 6.4.1.1
• Für Ruby 3.2-Benutzer: Aktualisieren Sie auf rdoc 6.5.1.1

Sie können gem update rdoc verwenden, um es zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie bitte gem "rdoc", ">= 6.6.3.1" zu Ihrer Gemfile hinzu.

Hinweis: 6.3.4, 6.4.1, 6.5.1 und 6.6.3 haben eine fehlerhafte Behebung. Wir empfehlen stattdessen die Aktualisierung auf 6.3.4.1, 6.4.1.1, 6.5.1.1 und 6.6.3.1.

Betroffene Versionen

• Ruby 3.0.6 oder niedriger
• Ruby 3.1.4 oder niedriger
• Ruby 3.2.3 oder niedriger
• Ruby 3.3.0
• RDoc-Gem 6.3.3 oder niedriger, 6.4.0 bis 6.6.2 ohne die Patch-Versionen (6.3.4, 6.4.1, 6.5.1)

Credits

Vielen Dank an ooooooo_q für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2024-03-21 4:00:00 (UTC)