Vulnerabilidad en RubyGems (CVE-2018-1000076)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2018
Última modificación:
20/05/2019
Descripción
Las versiones de RubyGems de la serie Ruby 2.2: 2.2.9 y anteriores, de la serie Ruby 2.3: 2.3.6 y anteriores, de la serie Ruby 2.4: 2.4.3 y anteriores, y de la serie Ruby 2.5: versiones 2.5.0 y anteriores, anteriores a la revisión del trunk 62422 contiene una vulnerabilidad de verificación incorrecta de firma criptográfica en package.rb que puede resultar en la instalación de una gema mal firmada, ya que tarball contendría múltiples firmas de gema. La vulnerabilidad parece haber sido solucionada en la versión 2.7.6.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubygems:rubygems:*:*:*:*:*:*:*:* | 2.2.9 (incluyendo) | |
| cpe:2.3:a:rubygems:rubygems:*:*:*:*:*:*:*:* | 2.3.6 (incluyendo) | |
| cpe:2.3:a:rubygems:rubygems:*:*:*:*:*:*:*:* | 2.4.3 (incluyendo) | |
| cpe:2.3:a:rubygems:rubygems:*:*:*:*:*:*:*:* | 2.5.0 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.rubygems.org/2018/02/15/2.7.6-released.html
- http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00036.html
- https://access.redhat.com/errata/RHSA-2018:3729
- https://access.redhat.com/errata/RHSA-2018:3730
- https://access.redhat.com/errata/RHSA-2018:3731
- https://access.redhat.com/errata/RHSA-2019:2028
- https://access.redhat.com/errata/RHSA-2020:0542
- https://access.redhat.com/errata/RHSA-2020:0591
- https://access.redhat.com/errata/RHSA-2020:0663
- https://github.com/rubygems/rubygems/commit/f5042b879259b1f1ce95a0c5082622c646376693
- https://lists.debian.org/debian-lts-announce/2018/04/msg00000.html
- https://lists.debian.org/debian-lts-announce/2018/04/msg00001.html
- https://lists.debian.org/debian-lts-announce/2018/04/msg00023.html
- https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
- https://lists.debian.org/debian-lts-announce/2019/05/msg00028.html
- https://usn.ubuntu.com/3621-1/
- https://www.debian.org/security/2018/dsa-4219
- https://www.debian.org/security/2018/dsa-4259