For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00358
Identificador(es)
ASA-2019-00358, CVE-2019-8321
Título
Vulnerabilidade de injeção de sequência de escape em verbose
Fabricante(s)
RubyGems.org
Produto(s)
RubyGems
Versão(ões) afetada(s)
RubyGems 2.7.6 e posterior até 3.0.2
Versão(ões) corrigida(s)
RubyGems 3.0.3
RubyGems 2.7.8
Prova de conceito
Desconhecido
Descrição
Um problema foi descoberto no RubyGems 2.6 e posterior à 3.0.2. Como Gem::UserInteraction#verbose chama say sem escapar, a injeção de sequência de escape é possível.
Detalhes técnicos
Desconhecido
Créditos
ooooooo_q
Referência(s)
March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html
Clean ascii escape sequence polluted messages processed by Gem::UserInteraction#verbose
https://github.com/rubygems/rubygems/commit/181e5d7e8d98cac268ec6f42644ff81fb4783cb2
Fix missing closing parenthesis in Gem::UserInteraction#verbose
https://github.com/rubygems/rubygems/commit/cb264ff64330f9ee069d88fe5c6e8a302d9e54d8
ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669
CVE-2019-8321
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8321
CVE-2019-8321
https://nvd.nist.gov/vuln/detail/CVE-2019-8321
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 20 junho 2019