ruby-list

(2010/07/02 19:57), Yuki Sonoda (Yugui) wrote:
> The vulnerability does not directly affect to Ruby 1.8 series.

Let me tell you a bit more about it.  This bug does exist on 1.8, but it lacks
ARGF.inplace_mode.  So an attacker should instead utilize ruby's -i option
like this:
  ruby.exe -i? VULNERABLE.rb %VICTIMPATH%

Of course this means the attacker has not only gained privileges to write
files but are also able to spawn arbitrary process;  which means the system
has already been cracked.

So we don't think 1.8 situation itself is a security issue.  We are handling
this as a normal bug.

Attachments (1)

signature.asc (260 Bytes, application/pgp-signature)

Thread

Prev Next

In This Thread

Prev Next

[#47200] 今 def 文を実行すると、メソッドが定義されるクラス、にアクセスする方法 — "KISHIMOTO, Makoto" <ksmakoto@...4u.or.jp>

[#47204] MySQL DBI：：libmysql.dllとの相性 — eiichi_maekawa@...

[#47206] [ANN][Security] Ruby 1.9.1リリース — "Yuki Sonoda (Yugui)" <yugui@...>

[#47207] [ANN] Ruby 1.9.2RC1リリース — "Yuki Sonoda (Yugui)" <yugui@...>

[#47208] Re: [ANN][Security] Ruby 1.9.1-p429 is out — Urabe Shyouhei <shyouhei@...>

[#47210] [ANN] セキュリティ＆プログラミングキャンプ2010 — SASADA Koichi <ko1@...>

[#47211] [ANN] Ruby-1.9.1-p429 Windows用パッケージ リリース — arton <artonx@...>

[#47212] [ANN] RubyKaigi2010企画: Rubyゲーム会議2010をやります — kumaryu <kumaryu@...>

[#47213] ruby-debug-ide-0.4.9.gemファイルのローカルインストール — eiichi_maekawa@...

[#47221] Re: ruby-debug-ide-0.4.9.gemファイルのローカルインストール — Shozo Arai <shozoa@...>

[#47227] ANN: Ruby-1.9.2-rc1 mswin32-100 のパッケージをリリース — arton <artonx@...>

[#47228] ANN++: Ruby-1.9.2-rc1 mswin32-100 のパッケージをリリース — arton <artonx@...>

[#47229] [ANN] Ruby 1.9.2 RC2 is out — "Yuki Sonoda (Yugui)" <yugui@...>

[#47234] Rubyの誕生日 — "KISHIMOTO, Makoto" <ksmakoto@...4u.or.jp>

[#47237] [ANN]MiyakoPack 2.1.15リリース(Miyako2.1.15先行公開) — cyross@...

[#47238] [ANN]Ruby-1.9.2-rc2 Windowsインストーラパッケージ — arton <artonx@...>

[#47239] 第 45 回 Ruby/Rails 勉強会@関西を開催します — okkez <okkez000@...>

[#47244] for文について — Kiyotaka ATSUMI <kiyotaka@...>

[#47256] 変則的なCSVデータの処理 — "Hideo Konami" <konami@...>

[#47262] [ANN]るびま 日本 Ruby 会議 2010 直前特集号リリース — takkanm@...

[#47263] Structに型宣言／型変換を組み込みたい — "MISHIMA, Hiroyuki" <missy@...>

[#47268] 「Rubyリファレンスマニュアル刷新計画」2010-07分のスナップショットリリース — okkez <okkez000@...>

[#47271] [ANN] nokogiri 1.4.3 リリース — Aaron Patterson <aaron@...>

[#47272] case when 整数と実数の比較 (ruby 1.9) — 小田 利通 <oda@...>

[#47274] WEBrick::HTTPServlet::XxxHandler の名前について — Makoto Kuwata <kwa@...>

[ruby-list:47208] Re: [ANN][Security] Ruby 1.9.1-p429 is out

Attachments (1)

Thread

In This Thread

[#47211] [ANN] Ruby-1.9.1-p429 Windows用パッケージリリース — arton <artonx@...>

[#47262] [ANN]るびま日本 Ruby 会議 2010 直前特集号リリース — takkanm@...

[#47272] case when 整数と実数の比較 (ruby 1.9) — 小田利通 <oda@...>