Ruby Server RCE Bug会quashed
开发人员修补了一个流行的Ruby库,用于解析和转换ASCIIDoC文件,以防止新发现的命令注入漏洞。
命令注射漏洞允许攻击者在运行应用程序的服务器上执行任意操作系统命令,通常导致应用程序和所有数据的完全妥协。
Ruby图书馆有问题,ASCIIDOCTOR - include-ext,是ASCIIDOCTOR库的一个扩展,它可以添加将远程URL和本地文件中的功能添加到ASCIIDoC文档中。它是一个可扩展的库。
管道恶意命令
Gitlab的安全工程师joern schneeweisz发现他可以强制Asciidoctor-include-ext通过将制作的输入字符串送到工具来执行任意命令。
“[asciidoctor-include-ext]使用`open` /`io.foreach`使用文件和URL。施尼维斯兹告诉我们每日SWbeplay2018官网IG.。
受到推崇的VMware修补工作空间中的临界缺陷一个访问标识管理软件
成功的攻击将为呈现给予损坏的进程的任何权利,呈现归因于验证程序。这个错误是给了一个关键10.0个CVS分数。
“它有点涉及漏洞可以在使用此扩展的Asciidoctor文档的正常渲染中触发,”SchneeWeisz说。“利用本身就很简单,样本已发表于此提交消息为了解决这个问题。“
数十年的矢量
有趣的是,这类脆弱性首先于2015年确定。当时,安全研究员Egor Homakov在博客文章中详述如何利用Ruby包装器库,例如Asciidoctor-inclust-ext中使用的库远程代码执行(RCE)攻击。
“Ruby的开放式URI默认行为非常危险,并且容易出现这样的rce,”Homakov告诉每日SWbeplay2018官网IG.。
“它肯定应该被删除或分成不同的功能,例如,OpenSystem(带管子|),OpenUri(用于URI)和OpenFile(for文件),以消除歧义和安全风险。我想没有人足够关心它来解决它。这样的事情留下“现状”,直到发现一些非常关键的漏洞采取行动。“
“我认为拥有的方式|[管道]前面读取命令而不是文件中的命令在那些Ruby方法中没有太广为广泛的行为,“SchneeWeisz说。“在大多数情况下,很容易错过,也很容易剥削。”
