ASA-2019-00358 – RubyGems: Vulnerabilidade de injeção de sequência de escape em verbose

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00358

Identificador(es)

ASA-2019-00358, CVE-2019-8321

Título

Vulnerabilidade de injeção de sequência de escape em verbose

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema foi descoberto no RubyGems 2.6 e posterior à 3.0.2. Como Gem::UserInteraction#verbose chama say sem escapar, a injeção de sequência de escape é possível.

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Clean ascii escape sequence polluted messages processed by Gem::UserInteraction#verbose
https://github.com/rubygems/rubygems/commit/181e5d7e8d98cac268ec6f42644ff81fb4783cb2

Fix missing closing parenthesis in Gem::UserInteraction#verbose
https://github.com/rubygems/rubygems/commit/cb264ff64330f9ee069d88fe5c6e8a302d9e54d8

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8321
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8321

CVE-2019-8321
https://nvd.nist.gov/vuln/detail/CVE-2019-8321

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.