Vulnerabilidad en las funciones File.fnmatch en Ruby (CVE-2019-15845)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2019
Última modificación:
24/08/2020
Descripción
Ruby versiones hasta 2.4.7, versiones 2.5.x hasta 2.5.6 y versiones 2.6.x hasta 2.6.4, maneja inapropiadamente la comprobación de ruta dentro de las funciones File.fnmatch.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.4.7 (incluyendo) |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.5.0 (incluyendo) | 2.5.6 (incluyendo) |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.4 (incluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.html
- https://hackerone.com/reports/449617
- https://lists.debian.org/debian-lts-announce/2019/11/msg00025.html
- https://seclists.org/bugtraq/2019/Dec/31
- https://seclists.org/bugtraq/2019/Dec/32
- https://security.gentoo.org/glsa/202003-06
- https://usn.ubuntu.com/4201-1/
- https://www.debian.org/security/2019/dsa-4587
- https://www.oracle.com/security-alerts/cpujan2020.html