CVE-2017-0901

Опубликовано: 31 авг. 2017

Источник: debian

EPSS Средний

Описание

RubyGems version 2.6.12 and earlier fails to validate specification names, allowing a maliciously crafted gem to potentially overwrite any file on the filesystem.

Пакеты

Пакет	Статус	Версия исправления	Тип
ruby2.3	fixed	2.3.3-1+deb9u1	package
ruby2.1	removed		package
ruby1.9.1	removed		package
rubygems	fixed	3.2.0~rc.1-1	package

Примечания

https://www.ruby-lang.org/en/news/2017/08/29/multiple-vulnerabilities-in-rubygems/
http://blog.rubygems.org/2017/08/27/2.6.13-released.html
For Ruby 2.3.4: https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch
For Ruby 2.2.7: https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch

EPSS

Процентиль: 95%

0.18555

Средний

Связанные уязвимости

CVE-2017-0901

CVSS3: 7.5

ubuntu

около 8 лет назад

RubyGems version 2.6.12 and earlier fails to validate specification names, allowing a maliciously crafted gem to potentially overwrite any file on the filesystem.

CVE-2017-0901

CVSS3: 6.5

redhat

около 8 лет назад

RubyGems version 2.6.12 and earlier fails to validate specification names, allowing a maliciously crafted gem to potentially overwrite any file on the filesystem.

CVE-2017-0901

CVSS3: 7.5

nvd

около 8 лет назад

RubyGems version 2.6.12 and earlier fails to validate specification names, allowing a maliciously crafted gem to potentially overwrite any file on the filesystem.

GHSA-pm9x-4392-2c2p

CVSS3: 7.5

github

больше 3 лет назад

RubyGems may allow a maliciously crafted gem to overwrite files

BDU:2018-00026

CVSS3: 7.5

fstec

около 8 лет назад

Уязвимость менеджера пакетов rubygems, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю осуществить перезапись любого файла

EPSS

Процентиль: 95%

0.18555

Средний