ASA-2019-00357 – RubyGems: Deleta diretório usando o symlink ao descompactar o tar


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00357

Identificador(es)

ASA-2019-00357, CVE-2019-8320

Título

Deleta diretório usando o symlink ao descompactar o tar

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema de directory traversal foi descoberto no RubyGems 2.7.6 e posterior até 3.0.2. Antes de criar novos diretórios ou tocar em arquivos (que agora incluem código de verificação de caminho para links simbólicos), ele excluiria o destino. Se esse destino estivesse oculto por trás de um link simbólico, uma gem maliciosa poderia excluir arquivos arbitrários na máquina do usuário, presumindo que o atacante pudesse adivinhar os caminhos. Dada a frequência com que gem é executada como sudo e como caminhos previsíveis estão nos sistemas modernos (/tmp, /usr, etc.), isso pode levar à perda de dados ou a um sistema inutilizável.

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Validate that symlinks cannot cause dirs outside of the gem to be deleted
https://github.com/rubygems/rubygems/commit/e2b5c58de49b83381d7971f5bb1d901721ed5818

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8320
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8320

CVE-2019-8320
https://nvd.nist.gov/vuln/detail/CVE-2019-8320

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 19 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.