[안전] 노코지리를 1.10.3에서 1.10.4로 늘리다
6027 단어 scoutges-old
묘사
1.10.3에서 1.10.4로의 충돌nokogiri.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.취약점 복구
* Ruby Advisory 데이터베이스*
>**Nokogiri 명령에 취약성 주입**
> Nokogiri v1에 명령 주입 빈틈이 있습니다.10.3 이전 버전에서는 하위 프로세스에서 Ruby의 커널이 명령을 수행할 수 있도록 허용했습니다.개방식 방법.기록되지 않은 방법인'Nokogiri::CSS:::Tokenizer#load file'이 신뢰할 수 없는 사용자에게 입력될 때만 프로세스가 공격을 받기 쉽다.
>
> 이 취약점은 Rexical gem v1 버전에서 생성된 코드에 나타납니다.0.6 및 그 이전.Nokogiri는 Rexical을 사용하여 CSS 질의를 분석하는 데 사용되는 구문 검색 프로그램 코드를 생성합니다.Rexical v1은 잠재적인 취약점을 해결합니다.0.7 및 Nokogiri는 Nokogiri v1에서 이 버전의 Rexical로 업그레이드되었습니다.10.4.
>
> Nokogiri v1로 업그레이드합니다.또는 신뢰할 수 없는 사용자 입력을 사용하여 기록되지 않은 방법인 "Nokogiri::CSS::Tokenizer#load file"을 호출하는 것을 피합니다.
>
> 패치 버전: >=1.10.4
> 영향 받지 않는 버전: 없음
릴리즈 노트
* [nokogiri 버전](https://github.com/sparklemotion/nokogiri/releases).*
> ## 1.10.4/2019-08-11
>
>####안전
>
>####주소 CVE-2019-5477([#1915])https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915))
>
> Nokogiri v1에 명령 주입 빈틈이 있습니다.10.3 이전 버전에서는 하위 프로세스에서 Ruby의 커널이 명령을 수행할 수 있도록 허용했습니다.개방식 방법.기록되지 않은 방법인'Nokogiri::CSS:::Tokenizer#load file'이 신뢰할 수 없는 사용자에게 입력될 때만 프로세스가 공격을 받기 쉽다.
>
> 이 취약점은 Rexical gem v1 버전에서 생성된 코드에 나타납니다.0.6 및 그 이전.Nokogiri는 Rexical을 사용하여 CSS 질의를 분석하는 데 사용되는 구문 검색 프로그램 코드를 생성합니다.Rexical v1은 잠재적인 취약점을 해결합니다.0.7 및 Nokogiri는 Nokogiri v1에서 이 버전의 Rexical로 업그레이드되었습니다.10.4.
>
>CVE의 공지는 [#1915](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915)
>
변경 로그
* [nokogiri의 변경 기록](https://github.com/sparklemotion/nokogiri/blob/master/CHANGELOG.md).*
> ## 1.10.4/2019-08-11
>
>####안전
>
>####주소 CVE-2019-5477([#1915])https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915))
>
> Nokogiri v1에 명령 주입 빈틈이 있습니다.10.3 이전 버전에서는 하위 프로세스에서 Ruby의 커널이 명령을 수행할 수 있도록 허용했습니다.개방식 방법.기록되지 않은 방법인'Nokogiri::CSS:::Tokenizer#load file'이 신뢰할 수 없는 사용자에게 입력될 때만 프로세스가 공격을 받기 쉽다.
>
> 이 취약점은 Rexical gem v1 버전에서 생성된 코드에 나타납니다.0.6 및 그 이전.Nokogiri는 Rexical을 사용하여 CSS 질의를 분석하는 데 사용되는 구문 검색 프로그램 코드를 생성합니다.Rexical v1은 잠재적인 취약점을 해결합니다.0.7 및 Nokogiri는 Nokogiri v1에서 이 버전의 Rexical로 업그레이드되었습니다.10.4.
>
>CVE의 공지는 [#1915](https://github-redirect.dependabot.com/sparklemotion/nokogiri/issues/1915)
언약
-[`beb832e`](https://github.com/sparklemotion/nokogiri/commit/beb832e3a67ba9aef1b4e83640bc8fd08fbc6da5) 버전이 v1로 업그레이드되었습니다.10.4
-[5d30128`](https://github.com/sparklemotion/nokogiri/commit/5d30128343573a9428c86efc758ba2c66e9f12dc) 분기'1915-css-tokenizer-load-file-v1을 통합합니다.10.x'에서 v1까지.10.x
-[`c86b5fc`](https://github.com/sparklemotion/nokogiri/commit/c86b5fc02e5b50308d8de08b9a194aa71b701081) 변경 로그 업데이트
-[5fe449f`](https://github.com/sparklemotion/nokogiri/commit/5fe449fd3ab8cc25a71499128529c821c10dde83) rexical 1.0.7을 사용하여 구문 검색 프로그램 다시 생성
- [`6777008`](https://github.com/sparklemotion/nokogiri/commit/6777008202c1bde0520bb09fd1f02dee64dbcb60) 생성기에서 eval # 초기화 제거
-[`47a7bc7`](https://github.com/sparklemotion/nokogiri/commit/47a7bc7d905207a9f5ccb2e6618e56d0ea78160a루푸 양식
-[`094ecb1`](https://github.com/sparklemotion/nokogiri/commit/094ecb1f7057ec56f47ed910b0326b17ec88c0fe) rubocop 보안 스캔을 "테스트"라크 대상의 일부로 실행
-[`d068cd4`](https://github.com/sparklemotion/nokogiri/commit/d068cd43fe74966095af248410e442d09be3e8e5) 개발자 의존 항목으로 rubocop 추가
-[`45ee92b`](https://github.com/sparklemotion/nokogiri/commit/45ee92bcc0c0ad5195bab5e564704bb1e28aab17) 임시 파이프를 v1에 추가합니다.10.x
- [뷰 비교]에서 전체 차이점 보기(https://github.com/sparklemotion/nokogiri/compare/v1.10.3...v1.10.4)
이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석
@dependabot rebase
을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
- "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
- 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
- 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
- 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
- 보안 업데이트(필요한 경우 보안 업데이트만 수신)
마지막으로 @Correlott를 언급하여 저희에게 연락하실 수 있습니다.
토론 #1
@corderiot mergeReference
이 문제에 관하여([안전] 노코지리를 1.10.3에서 1.10.4로 늘리다), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://github.com/francois/scoutges-old/issues/13텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)