พบช่องโหว่ใน RubyGems ซึ่งเป็นเครื่องมือที่ใช้ในการจัดการภาษา Ruby รายละเอียดช่องโหว่ที่พบมีดังนี้
• DNS request hijacking vulnerability. (CVE-2017-0902)
• an ANSI escape sequence vulnerability. (CVE-2017-0899)
• a DoS vulnerability in the query command. (CVE-2017-0900)
• a vulnerability in the gem installer that allowed a malicious gem to overwrite arbitrary files. (CVE-2017-0901)
ผลกระทบที่ได้รับ
• Ruby 2.2 series: 2.2.7 และเวอร์ชั่นที่เก่ากว่า
• Ruby 2.3 series: 2.3.4 และเวอร์ชั่นที่เก่ากว่า
• Ruby 2.4 series: 2.4.1 และเวอร์ชั่นที่เก่ากว่า
• และก่อนที่จะเป็น Revision 59672 ทั้งหมด
วิธีการแก้ปัญหา
ปัจจุบันผู้ใช้งานสามารถ upgrade ให้เป็นเวอร์ชั่นล่าสุดคือ RubyGems 2.6.13 หรือทำการอัพเดตแพตช์ โดยมีรายละเอียดดังนี้
• https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch
• https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch
• สำหรับ Ruby Gems เวอร์ชั่น 2.4.1 ต้องทำการอัพเดตแพตช์ ตามลำดับดังนี้
• https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch
• https://bugs.ruby-lang.org/attachments/download/6693/rubygems-2613-ruby24.patch
ที่มา : RUBY
You must be logged in to post a comment.