ASA-2019-00359 – RubyGems: Vulnerabilidade de injeção de sequência de escape no owner da gem

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00359

Identificador(es)

ASA-2019-00359, CVE-2019-8322

Título

Vulnerabilidade de injeção de sequência de escape no owner da gem

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. O comando gem owner envia o conteúdo da resposta da API diretamente ao stdout. Portanto, se a resposta for criada, a injeção de sequência de escape poderá ocorrer.

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Clean ascii escape sequence polluted response bodies processed by Gem::Commands::OwnerCommand#show_owners
https://github.com/rubygems/rubygems/commit/efed2ab38e165752f1efcc49a857882f40afd9cd

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8322
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8322

CVE-2019-8322
https://nvd.nist.gov/vuln/detail/CVE-2019-8322

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.