For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00357
Identificador(es)
ASA-2019-00357, CVE-2019-8320
Título
Deleta diretório usando o symlink ao descompactar o tar
Fabricante(s)
RubyGems.org
Produto(s)
RubyGems
Versão(ões) afetada(s)
RubyGems 2.7.6 e posterior até 3.0.2
Versão(ões) corrigida(s)
RubyGems 3.0.3
RubyGems 2.7.8
Prova de conceito
Desconhecido
Descrição
Um problema de directory traversal foi descoberto no RubyGems 2.7.6 e posterior até 3.0.2. Antes de criar novos diretórios ou tocar em arquivos (que agora incluem código de verificação de caminho para links simbólicos), ele excluiria o destino. Se esse destino estivesse oculto por trás de um link simbólico, uma gem maliciosa poderia excluir arquivos arbitrários na máquina do usuário, presumindo que o atacante pudesse adivinhar os caminhos. Dada a frequência com que gem é executada como sudo e como caminhos previsíveis estão nos sistemas modernos (/tmp, /usr, etc.), isso pode levar à perda de dados ou a um sistema inutilizável.
Detalhes técnicos
Desconhecido
Créditos
ooooooo_q
Referência(s)
March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html
Validate that symlinks cannot cause dirs outside of the gem to be deleted
https://github.com/rubygems/rubygems/commit/e2b5c58de49b83381d7971f5bb1d901721ed5818
ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669
CVE-2019-8320
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8320
CVE-2019-8320
https://nvd.nist.gov/vuln/detail/CVE-2019-8320
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 19 junho 2019