ASA-2019-00360 – RubyGems: Vulnerabilidade de injeção de sequência de escape no tratamento da resposta da API


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00360

Identificador(es)

ASA-2019-00360, CVE-2019-8323

Título

Vulnerabilidade de injeção de sequência de escape no tratamento da resposta da API

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. Gem::GemcutterUtilities#with_response pode gerar a resposta da API para stdout como está. Portanto, se o lado da API modificar a resposta, poderá ocorrer injeção de sequência de escape.

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Clean ascii escape sequence polluted response bodies processed by Gem::GemcutterUtilities#with_response
https://github.com/rubygems/rubygems/commit/671429574406ca03f8fb9574a1bca6f6f3c6c93c

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8323
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8323

CVE-2019-8323
https://nvd.nist.gov/vuln/detail/CVE-2019-8323

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.