CVE-2021-28965: Vulnérabilité XML round-trip dans REXML

Il y a une vulnérabilité XML round-trip dans la gemme REXML inclue dans Ruby. Cette vulnérabilité possède l’identifiant CVE CVE-2021-28965. Nous vous recommandons fortement de faire la mise à jour de la gemme REXML.

Détails

Lors de l’analyse et de la sérialisation d’un document XML spécialement conçu, la gemme REXML (y compris celle fournie avec Ruby) peut créer un mauvais document XML dont la structure est différente de l’original. L’impact de ce problème dépend fortement du contexte, mais il peut conduire à une vulnérabilité dans certains programmes qui utilisent REXML.

Veuillez mettre à jour la gemme REXML vers la version 3.2.5 ou supérieure.

Si vous utilisez Ruby 2.6 ou supérieure :

  • Veuillez utiliser Ruby 2.6.7, 2.7.3, ou 3.0.1.
  • Vous pouvez également utiliser gem update rexml pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter gem "rexml", ">= 3.2.5" à votre Gemfile

Si vous utilisez Ruby 2.5.8 ou inférieure :

  • Veuillez utiliser Ruby 2.5.9.
  • Vous ne pouvez pas utiliser gem update rexml pour Ruby 2.5.8 ou inférieure.
  • Notez que la branche 2.5 de Ruby n’est plus officiellement supportée. Veuillez mettre à jour Ruby vers la version 2.6.7 ou supérieure dès que possible.

Versions concernées

  • Ruby 2.5.8 ou inférieure (vous NE POUVEZ PAS utiliser gem upgrade rexml pour ces versions.)
  • Ruby 2.6.7 ou inférieure
  • Ruby 2.7.2 ou inférieure
  • Ruby 3.0.1 ou inférieure
  • REXML gem 3.2.4 ou inférieure

Crédits

Merci à Juho Nurminen pour la découverte de ce problème.

Historique

  • Paru initialement le 2021-04-05 12:00:00 (UTC)