Security Alert: Kramdown!

Kramdown ist ja bekanntlich der (Ruby-) Markdown-Interpreter, der auch in RubyFrontier werkelt, dem Static Site Generator (SSG), der unter anderem auch dieses Blog Kritzelheft und mein Wiki antreibt. Aber nicht nur dort, sondern zum Beispiel auch in Jekyll (und damit auch im CollectionBuilder) wird er gerne eingesetzt. Und nun erreichte mich ein Security Alert (CVE-2021-28834) für Kramdown (genauer für den per Default aktiven Synatx-Highlighter Rouge):

Die Einschränkungen auf den Rouge :: Formatters-Namespace erfolgt nicht, wenn die const_get() -Methode von Ruby aufgerufen wird. Dies kann dazu führen, daß beliebige Klassen in Situationen instanziiert werden, in denen die Anwendung, die beispielsweise kramdown verwendet, Benutzereingaben akzeptiert, um einen Textmarker für die Rogue-Syntax auszuwählen. Dadurch können unter Umständen Daten manipuliert werden.

Die Sicherheitslücke ist für alle bedeutungslos, die keinen fremden User-Input oder andere externe Eingaben an kramdown respektive Rouge zulassen. Das dürfte auf die meisten SSGs (und auf jeden Fall auf meine RubyFrontier-Installation) zutreffen. Kritisch könnte es unter Umständen in den Situationen werden, wo mehrere Nutzer auf die SSG zugreifen und das Deployment (wie zum Beispiel bei vielen Jekyll-Installationen) via GitHub erfolgt.

Die Lücke wurde mit kramdown 2.3.1 gestopft. Sicherheitshalber habe ich mit

sudo gem install -n /usr/local/bin kramdown

die neue Version eingespielt (die Pfadangabe -n /usr/local/bin ist erst ab macOS Catalina notwendig). Da es schnell geht und nicht wehtut, empfehle ich das Update allen anderen eventuell Betroffenen auch.

(Kommentieren)