Lỗ hổng nghiêm trọng được vá trong công cụ tài liệu Ruby

[WhiteHat Team]

Ruby vừa phát hành một bản vá khẩn cấp để khắc phục một lỗ hổng nghiêm trọng được phát hiện trong RDoc - một công cụ tạo tài liệu phổ biến cho các tệp nguồn Ruby.

Lỗ hổng này có mã định danh CVE-2024-27281, cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống sử dụng các phiên bản sau:

• Ruby 3.0.6, 3.1.4, 3.2.3 hoặc 3.3.0
• RDoc 6.3.3, 6.4.0 đến 6.6.2 (không bao gồm các phiên bản vá lỗi mới nhất)

Nguyên nhân của lỗ hổng là do việc xử lý các tệp YAML không đúng cách. Cụ thể là không giới hạn các tệp YAML ( tệp cấu hình .rdoc_options), điều này có nghĩa là RDoc không kiểm tra tính hợp lệ của các tệp YAML khi tải chúng. Kẻ tấn công có thể chèn mã độc vào các tệp YAML này và khi RDoc tải các tệp đó, mã độc sẽ được thực thi trên hệ thống mục tiêu.

Ngoài ra, lỗ hổng cũng ảnh hưởng đến cách RDoc tải bộ đệm tài liệu (documentation cache). Điều này có nghĩa là kẻ tấn công có thể chủ động tạo ra và sử dụng một bộ nhớ đệm tài liệu để thực thi mã từ xa trên hệ thống mục tiêu mà không cần tương tác trực tiếp với hệ thống đó.

Lỗ hổng CVE-2024-27281 cho phép kẻ tấn công có thể chèn mã độc vào các tệp, dẫn đến việc tải và thực thi mã trái phép. Ngoài ra, lỗ hổng này cũng ảnh hưởng đến cách RDoc tải bộ nhớ đệm tài liệu. Nếu một bộ nhớ đệm được tạo ra với dữ liệu đặc biệt để khai thác lỗ hổng, thì bộ nhớ đệm đó có thể kích hoạt cùng lúc một lỗ hổng khai thác mà kẻ tấn công sử dụng để thực thi mã từ xa trên hệ thống. Điều này tạo ra cơ hội cho kẻ tấn công để thực hiện các hành động không được phép trên hệ thống đang chạy RDoc.

Hiện nay Ruby đã phát hành bản vá và khuyến nghị người dùng cập nhật như sau:

• Ruby 3.0: Cập nhật lên RDoc 6.3.4.1
• Ruby 3.1: Cập nhật lên RDoc 6.4.1.1
• Ruby 3.2: Cập nhật lên RDoc 6.5.1.1
• Cập nhật chung: Cập nhật lên RDoc 6.6.3.1 trở lên

Đối với người dùng Bundler: Nếu bạn sử dụng trình quản lý phụ thuộc Bundler, hãy cập nhật tệp Gemfile bằng cách thêm gem "rdoc", ">= 6.6.3.1".

Theo Security Online​