The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Ruby и Rails с устранением уязвимостей

14.03.2019 09:00

Доступны корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей в системе управления пакетами RubyGems:

  • CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в ensure_loadable_spec на стадии проверки перед установкой);
  • CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar;
  • CVE-2019-8321: возможность подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose;
  • CVE-2019-8322: возможность подстановки escape-последовательностей через команду "gem owner";
  • CVE-2019-8323: возможность подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response);
  • CVE-2019-8325: возможность подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).

Кроме того, представлено обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей:

  • CVE-2019-5420 - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен режима для разработчиков, знание которого позволяет добиться выполнения своего кода;
  • CVE-2019-5418 - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного HTTP-заголовка Accept при наличии в коде обработчика "render file:" (например, "Accept: ../../etc/passwd{{");
  • CVE-2019-5419 - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept;


  1. Главная ссылка к новости (https://www.ruby-lang.org/en/n...)
  2. OpenNews: Выпуск языка программирования Ruby 2.6.0
  3. OpenNews: В RubyGems устранено 7 уязвимостей
  4. OpenNews: В RubyGems выявлена удалённо эксплуатируемая уязвимость
  5. OpenNews: Обновление Ruby 2.4.2 с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ruby, rails
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:59, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Говорили им, ставьте из репозитария, нет, хотим гемов накатить :}
     
     
  • 2.2, Аноним (2), 13:04, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В дебиане даже в сиде сейчас 2.5.1.
     
     
  • 3.3, Аноним (3), 14:24, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что ментейнер, пакета с рубями давно на него болт положил, пару раз написал все в  black hole
     
  • 3.4, Аноним (1), 14:53, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обновления безопасности в первую очередь идут в стейбл, например.
     
     
  • 4.5, Аноним (2), 15:45, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В стейбле тоже 2.5.1, например. Потому и приходится юзать rvm/rbenv.
     
     
  • 5.6, Аноним (1), 15:49, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересный у тебя стейбл.

    ruby -v
    ruby 2.3.3p222 (2016-11-21) [x86_64-linux-gnu]

     
  • 5.7, Матцумото (?), 15:58, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А кто-то пользуется встроенной версией рубей?
     
     
  • 6.10, Аноним (10), 18:18, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зависит от задачи. Если надо Yast запускать, то системный Руби подменять - опасно. Впрочем, там где Yast, там и Руби свежий.
     
  • 4.12, Аноним (12), 20:35, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обновления безопасности сначала в sid _и_ стейбл, а затем в тестинг.
     
  • 3.8, Аноним (8), 16:46, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Врёте, 2.5.3 в unstable и testing

    https://repology.org/project/ruby/versions

     
     
  • 4.11, GentooBoy (ok), 20:12, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пардонте видемо раздуплился немного но 2.6 так и не видно https://metadata.ftp-master.debian.org/changelogs//main/r/ruby2.5/ruby2.5_2.5.
     
  • 2.9, AleksK (ok), 18:13, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А другие гемы тоже ставить из репозитория? Вообще ставить Ruby или Python из реп для вебразработки так себе идея, есть проекты которые требуют разных версий интерпретаторов.
     
     
  • 3.13, Аноним (13), 09:40, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А другие гемы тоже ставить из репозитория?

    Да.

    > есть проекты которые требуют разных версий интерпретаторов

    Можно просто аккуратно выбирать, чтобы не вляпаться.

     
     
  • 4.14, AleksK (ok), 20:06, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Один из громадных плюсов вебразработки на Ruby или Python это то что просто создаешь виртуальное окружение и настраиваешь его как тебе надо под любой проект. При этом это делается на любом серверном дистрибутиве, которые обычно не отличаются свежестью софта в репозиториях. Тоже самое кстати замечательно работает с js.  
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру