发布时间:2021-04-07 12:19:53,来源:深信服科技股份有限公司、上海斗象信息科技有限公司
一、漏洞情况
Ruby是一种简单快捷的面向对象(面向对象程序设计)脚本语言。近日,监测发现Ruby组件的tmpdir库存在目录遍历漏洞,漏洞编号:CVE-2021-28966。在Ruby 3.0.0和Ruby 2.7.2之前版本的tmpdir库中的Dir.mktmpdir方法中存在目录遍历漏洞,攻击者可通过prefix参数中的”..\”创建任意目录或文件。建议受影响用户升级新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 影响范围
Ruby < 2.7.2
Ruby 3.0.0
四、 安全建议
安全建议:目前官方已发布最新版本,建议受影响的用户及时升级新版本。
链接如下:https://www.ruby-lang.org/en/news/2021/04/05/ruby-3-0-1-released/
五、 参考链接
https://www.ruby-lang.org/en/news/2021/04/05/tempfile-path-traversal-on-windows-cve-2021-28966/