CVE-2021-41816: Desbordamiento de búfer en CGI.escape_html
Publicado por mame el 2021-11-24
Traducción de vtamara
Una vulnerabilidad de desbordamiento de búfer fue descubierta en CGI.escape_html. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-41816. Recomendamos enfáticamente actualizar Ruby.
Detalles
Una vulnerabilidad de seguridad que causa desbordamientos de búfer cuando
el usuario pasa una cadenas muy grande (> 700MB) a CGI.escape_html en
una plataforma donde el tipo long emplee 4 bytes, tipicamente, Windows.
Por favor actualice la gema cgi a la versión 0.3.1, 0.2.1, y 0.1.1 o posterior.
Puede usar gem update cgi para actualizarla. Si está usando bundler,
por favor añada gem "cgi", ">= 0.3.1" a su archivo Gemfile.
Alternativamente, por favor actualice Ruby a 2.7.5 o a 3.0.3.
Este problema fue introducido desde Ruby 2.7, así que las versiones de cgi incorporadas en Ruby 2.6 no es vulnerable.
Versiones afectadas
- Gema cgi 0.1.0 o anterior (que se distribuyó con la serie Ruby 2.7 antes de Ruby 2.7.5)
- Gema cgi 0.2.0 o anterior (que se distribuyó con la serie Ruby 3.0 antes de Ruby 3.0.3)
- Gema cgi 0.3.0 o anterior
Créditos
Agradecimientos a chamal por descubrir este problema.
Historia
- Publicado originalmente el 2021-11-24 12:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23