ASA-2019-00361 – RubyGems: Instalar uma gem maliciosa pode levar a execução arbitrária de código


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00361

Identificador(es)

ASA-2019-00361, CVE-2019-8324

Título

Instalar uma gem maliciosa pode levar a execução arbitrária de código

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. Uma gem trabalhada com um nome de várias linhas não é tratada corretamente. Portanto, um atacante pode injetar um código arbitrário na linha de stub do gemspec, que é avaliada pelo código em ensure_loadable_spec durante a verificação de pré-instalação.

Detalhes técnicos

Desconhecido

Créditos

nyangawa (Chaitin Tech)

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Also verify spec require_paths when pre install task
https://github.com/rubygems/rubygems/commit/00ff3037a577889bd1e555966d9e0d17bea8d28d

[Installer] Validate spec name before checking the ruby spec is loadable
https://github.com/rubygems/rubygems/commit/52b88f1229c2796d3e3a8eab6a830f2afdec2e31

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8324
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8324

CVE-2019-8324
https://nvd.nist.gov/vuln/detail/CVE-2019-8324

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.