|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "Múltiplas vulnerabilidades no RubyGems" |
| 4 | +author: "usa" |
| 5 | +translator: "fpgentil" |
| 6 | +date: 2017-08-29 12:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: pt |
| 9 | +--- |
| 10 | + |
| 11 | +Existem múltiplas vulnerabilidades no RubyGems, biblioteca do Ruby. |
| 12 | +Foi reportado no [blog oficial do RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html). _(em inglês)_ |
| 13 | + |
| 14 | +## Detalhes |
| 15 | + |
| 16 | +As seguintes vulnerabilidades foram reportadas. |
| 17 | + |
| 18 | +* vulnerabilidade de redirecionamento de DNS. (CVE-2017-0902) |
| 19 | +* vulnerabilidade de código de escape ANSI. (CVE-2017-0899) |
| 20 | +* vulnerabilidade de ataque DoS. (CVE-2017-0900) |
| 21 | +* vulnerabilidade no instalador de _gems_ que permite uma _gem_ maliciosa sobrescrever arquivos |
| 22 | +arbitrários. (CVE-2017-0901) |
| 23 | + |
| 24 | +É altamente recomendado para os usuários do Ruby que sigam uma das soluções alternativas o mais |
| 25 | +rápido possível. |
| 26 | + |
| 27 | +## Versões Afetadas |
| 28 | + |
| 29 | +* Série do Ruby 2.2: 2.2.7 e anteriores |
| 30 | +* Série do Ruby 2.3: 2.3.4 e anteriores |
| 31 | +* Série do Ruby 2.4: 2.4.1 e anteriores |
| 32 | +* Anteriores ao _trunk revision_ 59672 |
| 33 | + |
| 34 | +## Soluções alternativas |
| 35 | + |
| 36 | +Até o momento, não existem _releases_ do Ruby incluindo correções para o RubyGems. |
| 37 | +Mas você pode atualizar o RubyGems para a última versão. |
| 38 | +RubyGems 2.6.13 ou versões mais recentes incluem a correção das vulnerabilidades. |
| 39 | + |
| 40 | +``` |
| 41 | +gem update --system |
| 42 | +``` |
| 43 | + |
| 44 | +Se você não pode atualizar o RubyGems, você pode aplicar os seguintes _patches_ como soluções |
| 45 | +alternativas. |
| 46 | + |
| 47 | +* [para o Ruby 2.2.7](https://bugs.ruby-lang.org/attachments/download/6690/rubygems-2613-ruby22.patch) |
| 48 | +* [para o Ruby 2.3.4](https://bugs.ruby-lang.org/attachments/download/6691/rubygems-2613-ruby23.patch) |
| 49 | +* para o Ruby 2.4.1: são necessários 2 _patches_. Aplique-os sequencialmente: |
| 50 | + 1. [RubyGems 2.6.11 até 2.6.12](https://bugs.ruby-lang.org/attachments/download/6692/rubygems-2612-ruby24.patch) |
| 51 | + 2. [RubyGems 2.6.12 até 2.6.13](https://bugs.ruby-lang.org/attachments/download/6693/rubygems-2613-ruby24.patch) |
| 52 | + |
| 53 | +Quanto ao _trunk_, atualize para a última versão. |
| 54 | + |
| 55 | +## Créditos |
| 56 | + |
| 57 | +Baseado no relato do [blog oficial do RubyGems](http://blog.rubygems.org/2017/08/27/2.6.13-released.html). _(em inglês)_ |
| 58 | + |
| 59 | +## Histórico |
| 60 | + |
| 61 | +* Originalmente publicado em 2017-08-29 12:00:00 UTC |
| 62 | +* Adicionado números de vulnerabilidades e exposições comuns (CVE) em 2017-08-31 02:00:00 UTC |
0 commit comments