Vulnerabilidad en RubyGems (CVE-2017-0903)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
11/10/2017
Última modificación:
20/04/2025
Descripción
Las versiones de RubyGems entre la 2.0.0 y la 2.6.13 son vulnerables a una posible vulnerabilidad de ejecución remota de código. La deserialización YAML de especificaciones de gemas puede omitir listas blancas de clases. Es posible que se utilicen objetos serializados especialmente manipulados para escalar a ejecución remota de código.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubygems:rubygems:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.0:preview2:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.0:preview2.1:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.0:preview2.2:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:rubygems:2.0.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.rubygems.org/2017/10/09/2.6.14-released.html
- http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html
- http://www.securityfocus.com/bid/101275
- https://access.redhat.com/errata/RHSA-2017:3485
- https://access.redhat.com/errata/RHSA-2018:0378
- https://access.redhat.com/errata/RHSA-2018:0583
- https://access.redhat.com/errata/RHSA-2018:0585
- https://github.com/rubygems/rubygems/commit/510b1638ac9bba3ceb7a5d73135dafff9e5bab49
- https://hackerone.com/reports/274990
- https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
- https://usn.ubuntu.com/3553-1/
- https://usn.ubuntu.com/3685-1/
- https://www.debian.org/security/2017/dsa-4031
- http://blog.rubygems.org/2017/10/09/2.6.14-released.html
- http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html
- http://www.securityfocus.com/bid/101275
- https://access.redhat.com/errata/RHSA-2017:3485
- https://access.redhat.com/errata/RHSA-2018:0378
- https://access.redhat.com/errata/RHSA-2018:0583
- https://access.redhat.com/errata/RHSA-2018:0585
- https://github.com/rubygems/rubygems/commit/510b1638ac9bba3ceb7a5d73135dafff9e5bab49
- https://hackerone.com/reports/274990
- https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
- https://usn.ubuntu.com/3553-1/
- https://usn.ubuntu.com/3685-1/
- https://www.debian.org/security/2017/dsa-4031