ОбновлСниС Ruby 2.6.5, 2.5.7 ΠΈ 2.4.8 с устранСниСм уязвимостСй

Π‘Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π΅Π»ΠΈΠ·Ρ‹ языка программирования Ruby 2.6.5, 2.5.7 ΠΈ 2.4.8, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСны Ρ‡Π΅Ρ‚Ρ‹Ρ€Π΅ уязвимости. НаиболСС опасная ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2019-16255) Π² стандартной Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ΅ Shell (lib/shell.rb), которая позволяСт ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²ΠΈΡ‚ΡŒ подстановку ΠΊΠΎΠ΄Π°. Π’ случаС ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… ΠΎΡ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π΄Π°Π½Π½Ρ‹Ρ… Π² ΠΏΠ΅Ρ€Π²ΠΎΠΌ Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² Shell#[] ΠΈΠ»ΠΈ Shell#test, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ наличия Ρ„Π°ΠΉΠ»Π°, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ Π²Ρ‹Π·ΠΎΠ²Π° ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ Ruby-ΠΌΠ΅Ρ‚ΠΎΠ΄Π°.

Π”Ρ€ΡƒΠ³ΠΈΠ΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹:

  • CVE-2019-16254 — ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½ΠΎΡΡ‚ΡŒ встроСнного http-сСрвСра WEBrick Π°Ρ‚Π°ΠΊΠ΅ ΠΏΠΎ Ρ€Π°Π·Π΄Π΅Π»Π΅Π½ΠΈΡŽ ΠΎΡ‚Π²Π΅Ρ‚ΠΎΠ² HTTP (Ссли ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° подставляСт Π½Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ Π² HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ ΠΎΡ‚Π²Π΅Ρ‚Π°, Ρ‚ΠΎ Ρ‡Π΅Ρ€Π΅Π· вставку символа ΠΏΠ΅Ρ€Π΅Π²ΠΎΠ΄Π° строки ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ);
  • CVE-2019-15845 подстановка Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ символа (\0) Π² провСряСмыС Ρ‡Π΅Ρ€Π΅Π· ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ «File.fnmatch» ΠΈ «File.fnmatch?» Ρ„Π°ΠΉΠ»ΠΎΠ²Ρ‹Π΅ ΠΏΡƒΡ‚ΠΈ, ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для Π»ΠΎΠΆΠ½ΠΎΠ³ΠΎ срабатывания ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ;
  • CVE-2019-16201 — ΠΎΡ‚ΠΊΠ°Π· Π² обслуТивании Π² ΠΌΠΎΠ΄ΡƒΠ»Π΅ Diges-Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ для WEBrick.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru