NVD脆弱性詳細

CVE-2021-31810

概要	An issue was discovered in Ruby through 2.6.7, 2.7.x through 2.7.3, and 3.x through 3.0.1. A malicious FTP server can use the PASV response to trick Net::FTP into connecting back to a given IP address and port. This potentially makes curl extract information about services that are otherwise private and not disclosed (e.g., the attacker can conduct port scans and service banner extractions).
公表日	2021年7月13日22:15
登録日	2021年7月14日10:00
最終更新日	2024年11月21日15:06

影響を受けるソフトウェアの構成

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:9.0:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools::::::::					9.2.6.1

関連情報、対策とツール

No	URL	タグ
1	https://hackerone.com/reports/1145454	Exploit Patch Third Party Advisory
2	https://hackerone.com/reports/1145454	Exploit Patch Third Party Advisory
3	https://lists.debian.org/debian-lts-announce/2021/10/msg00009.html	Mailing List Third Party Advisory
4	https://lists.debian.org/debian-lts-announce/2021/10/msg00009.html	Mailing List Third Party Advisory
5	https://lists.debian.org/debian-lts-announce/2023/04/msg00033.html
6	https://lists.debian.org/debian-lts-announce/2023/04/msg00033.html
7	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MWXHK5UUHVSHF7HTHMX6JY3WXDVNIHSL/
8	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MWXHK5UUHVSHF7HTHMX6JY3WXDVNIHSL/
9	https://security.gentoo.org/glsa/202401-27
10	https://security.gentoo.org/glsa/202401-27
11	https://security.netapp.com/advisory/ntap-20210917-0001/	Third Party Advisory
12	https://security.netapp.com/advisory/ntap-20210917-0001/	Third Party Advisory
13	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
14	https://www.oracle.com/security-alerts/cpuapr2022.html	Patch Third Party Advisory
15	https://www.ruby-lang.org/en/news/2021/07/07/trusting-pasv-responses-in-net-ftp/	Vendor Advisory
16	https://www.ruby-lang.org/en/news/2021/07/07/trusting-pasv-responses-in-net-ftp/	Vendor Advisory

共通脆弱性一覧

JVN脆弱性情報

Ruby における脆弱性

タイトル	Ruby における脆弱性
概要	Ruby には、不特定の脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年7月7日0:00
登録日	2022年9月2日18:11
最終更新日	2022年9月2日18:11

影響を受けるシステム

オラクル

JD Edwards EnterpriseOne Tools

Ruby-lang.org

Ruby 2.6.7 まで

Ruby 2.7.3 までの 2.7.x

Ruby 3.0.1 までの 3.x

Debian

Debian GNU/Linux

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-31810	https://www.cve.org/CVERecord?id=CVE-2021-31810
National Vulnerability Database (NVD)
2	CVE-2021-31810	https://nvd.nist.gov/vuln/detail/CVE-2021-31810
Ruby
3	CVE-2021-31810: Trusting FTP PASV responses vulnerability in Net::FTP	https://www.ruby-lang.org/en/news/2021/07/07/trusting-pasv-responses-in-net-ftp/

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Debian
1	[SECURITY] [DLA 2780-1] ruby2.3 security update	https://lists.debian.org/debian-lts-announce/2021/10/msg00009.html
Oracle Critical Patch Update
2	Oracle Critical Patch Update Advisory - April 2022	https://www.oracle.com/security-alerts/cpuapr2022.html

その他

No	名前	URL
関連文書
1	1145454 (lib/net/ftp.rb:trusting PASV responses allow client abuse)	https://hackerone.com/reports/1145454

変更履歴

No	変更内容	変更日
1	[2022年07月05日] 掲載	2022年7月5日12:03