ASA-2019-00132 – Ruby on Rails: Vazamento de conteúdo de arquivo no Action View


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00132

Identificador(es)

ASA-2019-00132, CVE-2019-5418

Título

Vazamento de conteúdo de arquivo no Action View

Fabricante(s)

Ruby on Rails core team

Produto(s)

Ruby on Rails

Versão(ões) afetada(s)

Todas as versões suportadas do Ruby on Rails

Versão(ões) corrigida(s)

Ruby on Rails 6.0.0.beta3
Ruby on Rails 5.2.2.1
Ruby on Rails 5.1.6.2
Ruby on Rails 5.0.7.2
Ruby on Rails 4.2.11.1

Prova de conceito

Sim

Descrição

Existe uma potencial vulnerabilidade de divulgação de conteúdo de arquivo no Action View. Cabeçalhos de recepção especialmente criados em combinação com chamadas para `render file:` podem fazer com que arquivos arbitrários no servidor de destino sejam renderizados, revelando o conteúdo do arquivo.

Todos os usuários executando uma versão afetada devem atualizar ou usar uma das soluções alternativas imediatamente.

Detalhes técnicos

O impacto é limitado a chamadas para `render` que renderizam o conteúdo do arquivo sem um formato de aceitação especificado. Código impactado em um controlador é algo como isto:

```
class UserController < ApplicationController
  def index
    render file: "#{Rails.root}/some/file"
  end
end
```

A renderização de templates, ao contrário dos arquivos, não é afetada por essa vulnerabilidade.

Créditos

John Hawthorn (Github)

Referência(s)

Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released!
https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/

[CVE-2019-5418] File Content Disclosure in Action View
https://groups.google.com/forum/#!topic/rubyonrails-security/pFRKI96Sm8Q

[CVE-2019-5418] File Content Disclosure in Action View
https://seclists.org/oss-sec/2019/q1/178

Analysis for【CVE-2019-5418】File Content Disclosure on Rails
https://chybeta.github.io/2019/03/16/Analysis-for%E3%80%90CVE-2019-5418%E3%80%91File-Content-Disclosure-on-Rails/

Only accept formats from registered mime types
https://github.com/rails/rails/commit/f4c70c2222180b8d9d924f00af0c7fd632e26715

CVE-2019–5418: on WAF bypass and caching
https://blog.pentesterlab.com/cve-2019-5418-on-waf-bypass-and-caching-10e93f9a1981

CVE-2019-5418
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5418

CVE-2019-5418
https://nvd.nist.gov/vuln/detail/CVE-2019-5418

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 6 maio 2019