Betroffene Version: 2.2.14 und früher
Korrigierte Version: 2.2.15 und danach
Auswirkung
——————————————————————
Angreifer können unter bestimmten Bedingungen eine modifizierte Email verfassen, um Shell-Kommandos auf dem betroffenen System auszuführen. Benutzer früherer Version des gems (kleiner 2.2.14) wird empfohlen Ihr System baldsmöglich zu aktualisieren bzw. anzupassen.
Ab Mail-Version 2.2.15 ist der Fehler korrigiert und das Gem steht auf RubyGems.org zum Download bereit.
Bei der Verwendung von Bundler, sollte das Gemfile entsprechend angepasst…
[ruby]
gem "mail", "~> 2.2.15"
[/ruby]
…und danach die Aktualisierung über folgenden Befehl angestossen swerden
[bash]
$ bundle install
[/bash]
Workarounds
——————————————————————
Das Anpassen der Versand-Methode nach SMTP oder File behebt die Lücke in der Applikation ebenfalls.
Details wie SMTP oder File verwendet werden kann gibt es unter folgenden Links:
http://rdoc.info/github/mikel/mail/master/Mail/SMTP
http://rdoc.info/github/mikel/mail/master/Mail/FileDelivery
Patch
——————————————————————
Wenn ein komplettes Update nicht möglich oder nicht gewünscht ist, kann auch den entsprechenden Patch benutzen.
Der Patch steht hier zum Download bereit:
https://github.com/mikel/mail/raw/master/patches/20110126_sendmail.patch