CVE-2020-10663: Sicherheitslücke bei der Objekterstellung in JSON (weiterer Fehler behoben)

Geschrieben von mame am 19.3.2020
Übersetzt von Marvin Gülker

Es gibt eine Sicherheitslücke im mit Ruby mitgelieferten json-Gem, die bei der Erstellung neuer Objekte auftritt. Dieser Sicherheitslücke wurde die CVE-Nummer CVE-2020-10663 zugewiesen. Wir empfehlen dringend, das json-Gem zu aktualisieren.

Details

Beim Parsen gewisser JSON-Dokumente kann das json-Gem (auch das mit Ruby mitgelieferte) dazu gebracht werden, beliebige Objekte in ein Zielsystem einzuschleusen.

Hierbei handelt es sich um dasselbe Problem wie in CVE-2013-0269. Damals wurde der Fehler nicht vollständig behoben, da nur JSON.parse(user_input) korrigiert wurde, aber nicht auch einige andere Methoden, JSON zu parsen, darunter JSON(user_input) und JSON.parse(user_input, nil).

Siehe CVE-2013-0269 für Details. Bitte beachten Sie, dass dieses Problem ursprünglich ausgenutzt werden konnte, um einen Denial-of-Service-Angriff durchzuführen, indem man eine große Zahl von Symbol-Objekten erzeugte. Diese Art von Angriff ist nicht mehr möglich, weil Symbol-Objekte mittlerweile durch den Garbage Collector entsorgt werden können. Dennoch kann die Erstellung beliebiger Objekte abhängig vom jeweiligen Programmcode zu erheblichen Sicherheitsproblemen führen.

Bitte aktualisieren Sie das json-Gem auf Version 2.3.0 oder neuer, was durch Ausführen des Befehls gem update json möglich ist. Wenn Sie Bundler einsetzen, fügen Sie die Zeile gem "json", ">= 2.3.0" zu Ihrer Gemfile hinzu.

Betroffene Versionen

• JSON-Gem 2.2.0 und früher

Danksagung

Wir danken Jeremy Evans für die Entdeckung des Problems.

Historie

• Erstmals veröffentlicht: 2020-03-19 13:00:00 (UTC)