ASA-2019-00130 – Ruby on Rails: Possível execução remota de código no Rails em modo de desenvolvimento

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00130

Identificador(es)

ASA-2019-00130, CVE-2019-5420

Título

Possível execução remota de código no Rails em modo de desenvolvimento

Fabricante(s)

Ruby on Rails core team

Produto(s)

Ruby on Rails

Versão(ões) afetada(s)

Ruby on Rails 6.0.0.X
Ruby on Rails 5.2.X

Versão(ões) corrigida(s)

Ruby on Rails 6.0.0.beta3
Ruby on Rails 5.2.2.1

Prova de conceito

Sim

Descrição

Com algum conhecimento de um aplicativo de destino, é possível que um atacante adivinhe o token secreto do modo de desenvolvimento gerado automaticamente. Esse token secreto pode ser usado em combinação com outros internos do Rails para escalar para uma exploração de execução remota de código.

Todos os usuários executando uma versão afetada devem atualizar ou usar uma das soluções alternativas imediatamente.

Esse problema pode ser atenuado especificando um token secreto no modo de desenvolvimento. Em “config/environments/development.rb” adicione isto:

config.secret_key_base = SecureRandom.hex(64)

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released!
https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/

[CVE-2019-5420] Possible Remote Code Execution Exploit in Rails Development Mode
https://groups.google.com/forum/#!topic/rubyonrails-security/IsQKvDqZdKw

[CVE-2019-5420] Possible Remote Code Execution Exploit in Rails Development Mode
https://seclists.org/oss-sec/2019/q1/176

Zero Day Initiative – Remote Code Execution via Ruby on Rails Active Storage Insecure Deserialization
https://www.zerodayinitiative.com/blog/2019/6/20/remote-code-execution-via-ruby-on-rails-active-storage-insecure-deserialization

RCE which may occur due to `ActiveSupport::MessageVerifier` or `ActiveSupport::MessageEncryptor` (especially Active storage)
https://hackerone.com/reports/473888

CVE-2019–5420 and defence-in-depth
https://blog.pentesterlab.com/cve-2019-5420-and-defence-in-depth-b502a64a80dd

CVE-2019-5420
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5420

CVE-2019-5420
https://nvd.nist.gov/vuln/detail/CVE-2019-5420

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.