发布日期：2019-06-19
更新日期：2019-06-19

受影响系统：

rubygems RubyGems 3.0.2
rubygems RubyGems 2.7.7
rubygems RubyGems 2.7.6

不受影响系统：

rubygems RubyGems 3.0.3
rubygems RubyGems 2.7.8

描述：

---

BUGTRAQ  ID: 108682
CVE(CAN) ID: CVE-2019-8320

RubyGems是Ruby的一个包管理器，提供了分发Ruby程序和库的标准格式“gem”，旨在方便地管理gem安装的工具，以及用于分发gem的服务器。
在RubyGems 2.7.6及更高版本3.0.2中发现了Directory Traversal问题。在创建新目录或触摸文件（现在包括符号链接的路径检查代码）之前，它将删除目标目标。如果该目标隐藏在符号链接后面，则恶意gem可以删除用户计算机上的任意文件，假设攻击者可以猜测路径。考虑到gem作为sudo运行的频率，以及现代系统（/ tmp，/ usr等）上可预测的路径如何，这可能导致数据丢失或系统无法使用。
攻击者可能利用此问题获取对受限目录之外的文件的读/写访问权限; 这可能有助于进一步的攻击。

<*链接：https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html
*>

建议：

---

厂商补丁：

Ruby
----
Ruby已经为此发布了一个安全公告（CVE-2019-8320）以及相应补丁:
CVE-2019-8320：March 2019 Security Advisories
链接：https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html

补丁下载：

浏览次数：2747
严重程度：0（网友投票）