CVE-2021-28965: Vulnerabilidad de XML de ida y vuelta en REXML

Publicado por mame el 2021-04-05
Traducción de vtamara

Hay una vulnerabilidad de XML de ida y vuelta en la gema REXML, incluida en Ruby. A esta vulnerabilidad se le ha asignado el identificador CVS CVE-2021-28965.

Recomendamos enfáticamente actualizar la gema REXML.

Detalles

Cuando se reconoce y serializa un documento XML especialmente elaborado, la gema REXML (incluyendo la incluida con Ruby) puede crear un documento XML errado cuya estructura sea diferente al original. El impacto de este problema depende altamente del contexto, pero puede conllevar a vulnerabilidades en algunos programas que usen REXML.

Por favor actualice la gema REXML a la versión 3.2.5 o posterior.

Si está usando Ruby 2.6 o posterior:

• Por favor use Ruby 2.6.7, 2.7.3, o 3.0.1.
• Alternativamente, puede usar gem update rexml para actualizarlo. si usa bundler, por favor añada gem "rexml", ">= 3.2.5" a su Gemfile.

Si usa Ruby 2.5.8 o anterior:

• Por favor use Ruby 2.5.9.
• No puede usar gem update rexml con Ruby 2.5.8 o anterior.
• Note que la serie 2.5 de Ruby ahora está en su FDV (Fin de vida –del inglés EOL, End of Life), así que por favor considere actualizar Ruby a 2.6.7 o posterior tan pronto como sea posible.

Versiones afectadas

• Ruby 2.5.8 o anterior (NO podrá usar gem update rexml con estas versiones.)
• Ruby 2.6.6 o anterior
• Ruby 2.7.2 o anterior
• Ruby 3.0.0
• REXML gem 3.2.4 o anterior

Creditos

Agradecimientos a Juho Nurminen por descubrir el problema.

Historia

• Publicado originalmente el 2021-04-05 a las 12:00:00 (UTC)