发布日期：2017-12-19
更新日期：2018-01-04

受影响系统：

Ruby Ruby <= 2.4.3

描述：

---

BUGTRAQ  ID: 102286
CVE(CAN) ID: CVE-2017-17790

Ruby一种为简单快捷的面向对象编程（面向对象程序设计）而创的脚本语言。

Ruby 2.4.3及之前版本，lib/resolv.rb/lazy_initialize函数使用Kernel#open，存在命令注入漏洞，成功利用后可使攻击者在受影响应用上下文中执行任意命令。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Ruby
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/ruby/ruby/pull/1777
https://www.ruby-lang.org
https://bugzilla.redhat.com/show_bug.cgi?id=1528218
https://access.redhat.com/security/cve/CVE-2017-17790

浏览次数：1653
严重程度：0（网友投票）