For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00359
Identificador(es)
ASA-2019-00359, CVE-2019-8322
Título
Vulnerabilidade de injeção de sequência de escape no owner da gem
Fabricante(s)
RubyGems.org
Produto(s)
RubyGems
Versão(ões) afetada(s)
RubyGems 2.7.6 e posterior até 3.0.2
Versão(ões) corrigida(s)
RubyGems 3.0.3
RubyGems 2.7.8
Prova de conceito
Desconhecido
Descrição
Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. O comando gem owner envia o conteúdo da resposta da API diretamente ao stdout. Portanto, se a resposta for criada, a injeção de sequência de escape poderá ocorrer.
Detalhes técnicos
Desconhecido
Créditos
ooooooo_q
Referência(s)
March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html
Clean ascii escape sequence polluted response bodies processed by Gem::Commands::OwnerCommand#show_owners
https://github.com/rubygems/rubygems/commit/efed2ab38e165752f1efcc49a857882f40afd9cd
ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669
CVE-2019-8322
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8322
CVE-2019-8322
https://nvd.nist.gov/vuln/detail/CVE-2019-8322
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 20 junho 2019