Повідомлення з безпеки: CVE-2025-27219, CVE-2025-27220 та CVE-2025-27221
Опублікував hsbt 26-02-2025
Переклав: Andrii Furmanets
Ми опублікували повідомлення з безпеки щодо CVE-2025-27219, CVE-2025-27220 та CVE-2025-27221. Деталі нижче.
CVE-2025-27219: Відмова в обслуговуванні в CGI::Cookie.parse.
Існує можливість DoS-атаки в gem cgi. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-27219. Рекомендуємо оновити gem cgi.
Деталі
У деяких випадках CGI::Cookie.parse працював за надлінійний час при розборі рядка cookie. Подача зловмисно сформованого рядка cookie до методу могла призвести до відмови в обслуговуванні.
Будь ласка, оновіть gem cgi до версії 0.3.5.1, 0.3.7, 0.4.2 або новішої.
Уражені версії
- версії gem cgi <= 0.3.5, 0.3.6, 0.4.0 та 0.4.1.
Подяки
Дякуємо lio346 за виявлення цієї проблеми. Також дякуємо mame за виправлення цієї вразливості.
CVE-2025-27220: ReDoS у CGI::Util#escapeElement.
Існує можливість відмови в обслуговуванні через регулярні вирази (ReDoS) в gem cgi. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-27220. Рекомендуємо оновити gem cgi.
Деталі
Регулярний вираз, що використовується в CGI::Util#escapeElement, вразливий до ReDoS. Спеціально сформований ввід міг призвести до високого навантаження на CPU.
Ця вразливість впливає лише на Ruby 3.1 і 3.2. Якщо ви використовуєте ці версії, будь ласка, оновіть gem cgi до версії 0.3.5.1, 0.3.7, 0.4.2 або новішої.
Уражені версії
- версії gem cgi <= 0.3.5, 0.3.6, 0.4.0 та 0.4.1.
Подяки
Дякуємо svalkanov за виявлення цієї проблеми. Також дякуємо nobu за виправлення цієї вразливості.
CVE-2025-27221: витік userinfo у URI#join, URI#merge та URI#+.
Існує можливість витоку userinfo в gem uri. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-27221. Рекомендуємо оновити gem uri.
Деталі
Методи URI#join, URI#merge та URI#+ зберігали userinfo (наприклад, user:password) навіть після заміни хоста. Під час формування URL на зловмисний хост із URL, що містить секретний userinfo, та подальшого переходу за таким URL міг відбутися небажаний витік userinfo.
Будь ласка, оновіть gem uri до версії 0.11.3, 0.12.4, 0.13.2, 1.0.3 або новішої.
Уражені версії
- версії gem uri < 0.11.3, 0.12.0-0.12.3, 0.13.0, 0.13.1 та 1.0.0-1.0.2.
Подяки
Дякуємо Tsubasa Irisawa (lambdasawa) за виявлення цієї проблеми. Також дякуємо nobu за додаткові виправлення цієї вразливості.
Історія
- Початково опубліковано 2025-02-26 7:00:00 (UTC)
Останні новини
Оновлення айдентики нашого сайту
Раді оголосити про комплексне оновлення нашого сайту. Дизайн для цього оновлення створила Taeko Akatsuka.
Опублікував Hiroshi SHIBATA 22-12-2025
Вийшов Ruby 4.0.0 preview3
Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.
Опублікував naruse 18-12-2025
Вийшов Ruby 3.4.8
Вийшов Ruby 3.4.8.
Опублікував k0kubun 17-12-2025
Вийшов Ruby 4.0.0 preview2
Раді повідомити про вихід Ruby 4.0.0-preview2. Ruby 4.0 оновлює версію Unicode до 17,0.0 тощо.
Опублікував naruse 17-11-2025