Kramdown ist ja bekanntlich der (Ruby-) Markdown-Interpreter, der auch in RubyFrontier werkelt, dem Static Site Generator (SSG), der unter anderem auch dieses Blog Kritzelheft und mein Wiki antreibt. Aber nicht nur dort, sondern zum Beispiel auch in Jekyll (und damit auch im CollectionBuilder) wird er gerne eingesetzt. Und nun erreichte mich ein Security Alert (CVE-2021-28834) für Kramdown (genauer für den per Default aktiven Synatx-Highlighter Rouge):
Die Einschränkungen auf den Rouge :: Formatters
-Namespace erfolgt nicht, wenn die const_get()
-Methode von Ruby aufgerufen wird. Dies kann dazu führen, daß beliebige Klassen in Situationen instanziiert werden, in denen die Anwendung, die beispielsweise kramdown verwendet, Benutzereingaben akzeptiert, um einen Textmarker für die Rogue-Syntax auszuwählen. Dadurch können unter Umständen Daten manipuliert werden.
Die Sicherheitslücke ist für alle bedeutungslos, die keinen fremden User-Input oder andere externe Eingaben an kramdown respektive Rouge zulassen. Das dürfte auf die meisten SSGs (und auf jeden Fall auf meine RubyFrontier-Installation) zutreffen. Kritisch könnte es unter Umständen in den Situationen werden, wo mehrere Nutzer auf die SSG zugreifen und das Deployment (wie zum Beispiel bei vielen Jekyll-Installationen) via GitHub erfolgt.
Die Lücke wurde mit kramdown 2.3.1 gestopft. Sicherheitshalber habe ich mit
sudo gem install -n /usr/local/bin kramdown
die neue Version eingespielt (die Pfadangabe -n /usr/local/bin
ist erst ab macOS Catalina notwendig). Da es schnell geht und nicht wehtut, empfehle ich das Update allen anderen eventuell Betroffenen auch.
Über …
Der Schockwellenreiter ist seit dem 24. April 2000 das Weblog digitale Kritzelheft von Jörg Kantel (Neuköllner, EDV-Leiter Rentner, Autor, Netzaktivist und Hundesportler — Reihenfolge rein zufällig). Hier steht, was mir gefällt. Wem es nicht gefällt, der braucht ja nicht mitzulesen. Wer aber mitliest, ist herzlich willkommen und eingeladen, mitzudiskutieren!
Alle eigenen Inhalte des Schockwellenreiters stehen unter einer Creative-Commons-Lizenz, jedoch können fremde Inhalte (speziell Videos, Photos und sonstige Bilder) unter einer anderen Lizenz stehen.
Der Besuch dieser Webseite wird aktuell von der Piwik Webanalyse erfaßt. Hier können Sie der Erfassung widersprechen.
Diese Seite verwendet keine Cookies. Warum auch? Was allerdings die iframes
von Amazon, YouTube und Co. machen, entzieht sich meiner Kenntnis.
Werbung
Diese Spalte wurde absichtlich leergelassen!