Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

debian логотип

CVE-2018-8780

Опубликовано: 03 апр. 2018
Источник: debian

Описание

In Ruby before 2.2.10, 2.3.x before 2.3.7, 2.4.x before 2.4.4, 2.5.x before 2.5.1, and 2.6.0-preview1, the Dir.open, Dir.new, Dir.entries and Dir.empty? methods do not check NULL characters. When using the corresponding method, unintentional directory traversal may be performed.

Пакеты

ПакетСтатусВерсия исправленияРелизТип
ruby2.5fixed2.5.1-1package
ruby2.3removedpackage
ruby2.1removedpackage
ruby1.9.1removedpackage
ruby1.8removedpackage

Примечания

  • https://www.ruby-lang.org/en/news/2018/03/28/poisoned-nul-byte-dir-cve-2018-8780/

  • https://hackerone.com/reports/302338

  • Fixed by: https://github.com/ruby/ruby/commit/bd5661a3cbb38a8c3a3ea10cd76c88bbef7871b8

  • Fixed by: https://github.com/ruby/ruby/commit/143eb22f1877815dd802f7928959c5f93d4c7bb3 (2.2.10)

Связанные уязвимости

ubuntu логотип

CVE-2018-8780

CVSS3: 9.1
ubuntu
почти 8 лет назад

In Ruby before 2.2.10, 2.3.x before 2.3.7, 2.4.x before 2.4.4, 2.5.x before 2.5.1, and 2.6.0-preview1, the Dir.open, Dir.new, Dir.entries and Dir.empty? methods do not check NULL characters. When using the corresponding method, unintentional directory traversal may be performed.

redhat логотип

CVE-2018-8780

CVSS3: 6.5
redhat
почти 8 лет назад

In Ruby before 2.2.10, 2.3.x before 2.3.7, 2.4.x before 2.4.4, 2.5.x before 2.5.1, and 2.6.0-preview1, the Dir.open, Dir.new, Dir.entries and Dir.empty? methods do not check NULL characters. When using the corresponding method, unintentional directory traversal may be performed.

nvd логотип

CVE-2018-8780

CVSS3: 9.1
nvd
почти 8 лет назад

In Ruby before 2.2.10, 2.3.x before 2.3.7, 2.4.x before 2.4.4, 2.5.x before 2.5.1, and 2.6.0-preview1, the Dir.open, Dir.new, Dir.entries and Dir.empty? methods do not check NULL characters. When using the corresponding method, unintentional directory traversal may be performed.

github логотип

GHSA-fphx-j9v2-w2cx

CVSS3: 9.1
github
больше 3 лет назад

In Ruby before 2.2.10, 2.3.x before 2.3.7, 2.4.x before 2.4.4, 2.5.x before 2.5.1, and 2.6.0-preview1, the Dir.open, Dir.new, Dir.entries and Dir.empty? methods do not check NULL characters. When using the corresponding method, unintentional directory traversal may be performed.

fstec логотип

BDU:2019-04036

CVSS3: 6.5
fstec
почти 8 лет назад

Уязвимость методов Dir.open, Dir.new, Dir.entries и Dir.empty интерпретатора языка программирования Ruby, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным или оказать воздействие на целостность защищаемой информации