CVE-2023-28755: Vulnerabilidad ReDoS en URI

Publicado por hsbt el 2023-03-28
Traducción de vtamara

Hemos publicados la gema uri con versiones 0.12.1, 0.11.1, 0.10.2 y 0.10.0.1 que incluyen una corrección de seguridad para una vulnerabilidad ReDoS. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2023-28755.

Detalles

Un incidente de ReDoS (denegación de servicio por expresión regular) ha sido descubierto en el componente URI. El reconocedor de URIs trata de manera inválida URLs que incluyen caracteres específicos. Esto causa una aumento en el tiempo de ejecución al reconocer cadenas en objetos URI.

Acción recomendada

Recomendamos actualizar la gema uri a 0.12.1. Para asegurar compatibilidad con la versión incluida en series antiguas de Ruby, puede actualizar así:

• Para Ruby 2.7: Actualizar a uri 0.10.0.1
• Para Ruby 3.0: Actualizar a uri 0.10.2
• Para Ruby 3.1: Actualizar a uri 0.11.1
• Para Ruby 3.2: Actualizar a uri 0.12.1

Puede usar gem update uri para actualizar. Si usa bundler, por favor agregue gem "uri", ">= 0.12.1" (u otra de las versiones mencionadas antes) a su Gemfile.

Versiones afectadas

• gema uri 0.12.0
• gema uri 0.11.0
• gema uri 0.10.1
• gema uri 0.10.0 o anterior

Créditos

Agradecemos a Dominic Couture por descubrir este problema.

Historia

• Publicación original el 2023-03-28 01:00:00 (UTC)
• Actualización a versiones afectadas el 2023-03-28 02:00:00 (UTC)
• Actualización al identificador CVE el 2023-03-28 04:00:00 (UTC)