forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление Ruby и Rails с устранением уязвимостей"
Отправлено opennews, 14-Мрт-19 10:59

Доступны (https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../) корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей (https://blog.rubygems.org/2019/03/05/security-advisories-201...) в системе управления пакетами RubyGems:

-  CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в  ensure_loadable_spec на стадии проверки перед установкой);
-  CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar;
-  CVE-2019-8321: возможность  подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose;
-  CVE-2019-8322: возможность  подстановки escape-последовательностей через команду "gem owner";
-  CVE-2019-8323: возможность  подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response);
-  CVE-2019-8325: возможность  подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).

Кроме того, представлено (https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6.../) обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей:

-  CVE-2019-5420 (https://www.openwall.com/lists/oss-security/2019/03/13/3) - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен  режима для разработчиков, знание которого позволяет добиться выполнения своего кода;
-  CVE-2019-5418 (https://www.openwall.com/lists/oss-security/2019/03/13/5) - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного  HTTP-заголовка Accept при наличии в коде обработчика "render file:".
-  CVE-2019-5419 (https://www.openwall.com/lists/oss-security/2019/03/13/4) - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept;

URL: https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50321

Исходное сообщение
"Обновление Ruby и Rails с устранением уязвимостей" Отправлено opennews, 14-Мрт-19 10:59
Доступны (https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../) корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей (https://blog.rubygems.org/2019/03/05/security-advisories-201...) в системе управления пакетами RubyGems: - CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в ensure_loadable_spec на стадии проверки перед установкой); - CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar; - CVE-2019-8321: возможность подстановки escape-последовательностей через обработчик Gem::UserInteraction#verbose; - CVE-2019-8322: возможность подстановки escape-последовательностей через команду "gem owner"; - CVE-2019-8323: возможность подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response); - CVE-2019-8325: возможность подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов). Кроме того, представлено (https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6.../) обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением трёх уязвимостей: - CVE-2019-5420 (https://www.openwall.com/lists/oss-security/2019/03/13/3) - потенциально позволяет удалённо выполнить свой код на сервере, при работе Rails в режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно предугадать автоматически генерируемый токен режима для разработчиков, знание которого позволяет добиться выполнения своего кода; - CVE-2019-5418 (https://www.openwall.com/lists/oss-security/2019/03/13/5) - уязвимость в Action View, позволяющая получить содержимое произвольных файлов из файловой системы сервера через отправку специально оформленного HTTP-заголовка Accept при наличии в коде обработчика "render file:". - CVE-2019-5419 (https://www.openwall.com/lists/oss-security/2019/03/13/4) - DoS-уязвимость в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на CPU через манипуляции с содержимым HTTP-заголовка Accept; URL: https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-rele.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50321

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступны (https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-released/) корректирующие 
> версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть 
> уязвимостей (https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html) 
> в системе управления пакетами RubyGems:

> -  CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий 
> может разместить код в gemspec и этот код будет выполнен через 
> вызов eval в  ensure_loadable_spec на стадии проверки перед установкой); 
> -  CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками 
> при распаковке файлов tar; 
> -  CVE-2019-8321: возможность  подстановки escape-последовательностей через обработчик 
> Gem::UserInteraction#verbose; 
> -  CVE-2019-8322: возможность  подстановки escape-последовательностей через команду "gem 
> owner"; 
> -  CVE-2019-8323: возможность  подстановки escape-последовательностей в обработчике API 
> (Gem::GemcutterUtilities#with_response); 
> -  CVE-2019-8325: возможность  подстановки escape-последовательностей через обработчики 
> ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов).

> Кроме того, представлено (https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/) 
> обновление фреймворка Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2. и 6.0.0.beta3 с устранением 
> трёх уязвимостей:

> -  CVE-2019-5420 (https://www.openwall.com/lists/oss-security/2019/03/13/3) - потенциально 
> позволяет удалённо выполнить свой код на сервере, при работе Rails в 
> режиме разработчика (Development Mode). При наличии сведений о атакуемом приложении можно 
> предугадать автоматически генерируемый токен  режима для разработчиков, знание которого 
> позволяет добиться выполнения своего кода;

> -  CVE-2019-5418 (https://www.openwall.com/lists/oss-security/2019/03/13/5) - уязвимость 
> в Action View, позволяющая получить содержимое произвольных файлов из файловой системы 
> сервера через отправку специально оформленного  HTTP-заголовка Accept при наличии в 
> коде обработчика "render file:".
> -  CVE-2019-5419 (https://www.openwall.com/lists/oss-security/2019/03/13/4) - DoS-уязвимость 
> в Action View (MODULE / COMPONENT), позволяющая добиться 100% нагрузки на 
> CPU через манипуляции с содержимым HTTP-заголовка Accept;

> URL: https://www.ruby-lang.org/en/news/2019/03/13/ruby-2-6-2-released/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50321

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру