ditemukan celah keamanan, yaitu memungkinkan attacker melakukan malicious escape sequences injection ke file log WEBrick. Dengan begitu, hal ini memungkinkan karakter kontrol yang berbahaya dieksekusi pada terminal emulator korban.
Contoh
% xterm -e ruby -rwebrick -e 'WEBrick::HTTPServer.new(:Port=>8080).start' & % wget http://localhost:8080/%1b%5d%32%3b%6f%77%6e%65%64%07%0aVersi-versi Ruby yang memiliki celah keamanan ini:
- Ruby 1.8.6 patchlevel 383 dan versi-versi sebelumnya
- Ruby 1.8.7 patchlevel 248 dan versi-versi sebelumnya
- Versi development dari Ruby 1.8 (1.8.8dev)
- Ruby 1.9.1 patchlevel 376 dan versi-versi sebelumnya
- Versi development dari Ruby 1.9 (1.9.2dev)
Solusi
1. Untuk Ruby 1.8.7, Update ke 1.8.7 pl. 249.
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.tar.gz
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.tar.bz2
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p249.zip
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.tar.gz
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.tar.bz2
- ftp://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.1-p378.zip
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p388.tar.gz
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p388.tar.bz2
- ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p388.zip
0 comments:
Post a Comment