RubyGems rgpg 'gpg_helper.rb'远程命令注入漏洞

文章由LinuxBoy分享于2019-04-02 03:04:48热评（336）

发布日期：2013-08-02
更新日期：2013-08-06

受影响系统：
rubygems rgpg 0.2.3
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 61575

rgpg是与gpg工具交互的简单API。

rgpg将没有有效过滤的用户输入传递到System ()函数去执行。如果该API用在rail应用上下文中，用户若在lib/rgpg/gpg_helper.rb中提供了类似";" 、"&"的shell元字符，则有可能在shell中注入远程命令。攻击者可利用此漏洞在受影响应用上下文中执行任意命令。

<*来源：Larry W. Cashdollar （lwc@vapid.dhs.org）

链接：http://seclists.org/oss-sec/2013/q3/266
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://rubygems.org/gems/rgpg

推荐文章：