|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "Zahlreiche Schwachstellen in RubyGems" |
| 4 | +author: "usa" |
| 5 | +translator: "Marvin Gülker" |
| 6 | +date: 2018-02-17 03:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: de |
| 9 | +--- |
| 10 | + |
| 11 | +In RubyGems ist eine Anzahl von Schwachstellen gefunden worden, wie |
| 12 | +auf dem [offiziellen RubyGems-Blog beschrieben wird](http://blog.rubygems.org/2018/02/15/2.7.6-released.html). |
| 13 | + |
| 14 | +## Details |
| 15 | + |
| 16 | +Die folgenden Sicherheitslücken wurden behoben. |
| 17 | + |
| 18 | +* Verhinderung von Pfadverfolgung _(path traversal_) bei |
| 19 | + Schreibzugriff auf ein per Symlink verlinktes basedir außerhalb des |
| 20 | + Wurzelverzeichnisses. |
| 21 | +* Möglicherweise unsichere Objektdeserialisierung in gem owner |
| 22 | + behoben. |
| 23 | +* Oktalfelder in Tar-Kopfzeilen werden jetzt streng beachtet. |
| 24 | +* Werfe einen Sicherheitsfehler, wenn in einem Paket Dateien mehrfach |
| 25 | + vorkommen. |
| 26 | +* Erzwinge URL-Validierung im Homepage-Attribut der Spec |
| 27 | +* XSS-Schwachstelle im Homepage-Attribut behoben, wenn es von gem |
| 28 | + server angezeigt wird. |
| 29 | +* Verhinderung von Pfadverfolgung während der Gem-Installation. |
| 30 | + |
| 31 | +Es wird nachdrücklich empfohlen, so schnell wie möglich einen der |
| 32 | +folgenden Workarounds anzuwenden. |
| 33 | + |
| 34 | +## Betroffene Versionen |
| 35 | + |
| 36 | +* Ruby 2.2er-Serie: 2.2.9 and früher |
| 37 | +* Ruby 2.3er-Serie: 2.3.6 and früher |
| 38 | +* Ruby 2.4er-Serie: 2.4.3 and früher |
| 39 | +* Ruby 2.5er-Serie: 2.5.0 and früher |
| 40 | +* Trunk vor Revision 62422 |
| 41 | + |
| 42 | +## Workarounds |
| 43 | + |
| 44 | +Die Probleme wurden in RubyGems 2.7.6 behoben, weshalb eine |
| 45 | +Aktualisierung von RubyGems auf die neueste Version Abilfe schafft. |
| 46 | + |
| 47 | +``` |
| 48 | +gem update --system |
| 49 | +``` |
| 50 | + |
| 51 | +Wenn Sie RubyGems nicht aktualisieren können, wenden Sie die folgenden |
| 52 | +Patches als Workaround an. |
| 53 | + |
| 54 | +* [für Ruby 2.2.9](https://bugs.ruby-lang.org/attachments/download/7030/rubygems-276-for-ruby22.patch) |
| 55 | +* [für Ruby 2.3.6](https://bugs.ruby-lang.org/attachments/download/7029/rubygems-276-for-ruby23.patch) |
| 56 | +* [für Ruby 2.4.3](https://bugs.ruby-lang.org/attachments/download/7028/rubygems-276-for-ruby24.patch) |
| 57 | +* [für Ruby 2.5.0](https://bugs.ruby-lang.org/attachments/download/7027/rubygems-276-for-ruby25.patch) |
| 58 | + |
| 59 | +Trunk-Nutzer aktualisieren auf die neueste Revision. |
| 60 | + |
| 61 | +## Danksagung |
| 62 | + |
| 63 | +Dieser Bericht basiert auf dem [offiziellen RubyGems-Blogpost](http://blog.rubygems.org/2018/02/15/2.7.6-released.html). |
| 64 | + |
| 65 | +## Historie |
| 66 | + |
| 67 | +* Erstmals veröffentlicht: 2018-02-17 03:00:00 UTC |
0 commit comments