ASA-2019-00362 – RubyGems: Vulnerabilidade de injeção de sequência de escape em erro


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00362

Identificador(es)

ASA-2019-00362, CVE-2019-8325

Título

Vulnerabilidade de injeção de sequência de escape em erro

Fabricante(s)

RubyGems.org

Produto(s)

RubyGems

Versão(ões) afetada(s)

RubyGems 2.7.6 e posterior até 3.0.2

Versão(ões) corrigida(s)

RubyGems 3.0.3
RubyGems 2.7.8

Prova de conceito

Desconhecido

Descrição

Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. Como Gem::CommandManager#run chama alert_error sem escapar, a injeção de sequência de escape é possível. (Existem muitas maneiras de causar um erro.)

Detalhes técnicos

Desconhecido

Créditos

ooooooo_q

Referência(s)

March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

Clean ascii escape sequence polluted exceptions processed by Gem::CommandManager#run
https://github.com/rubygems/rubygems/commit/e434c3e34367f8a2ea83ca16ed805cf219117e18

ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669

CVE-2019-8325
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8325

CVE-2019-8325
https://nvd.nist.gov/vuln/detail/CVE-2019-8325

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 20 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.