CVE-2023-28756: Vulnerabilidad ReDoS en Time
Publicado por hsbt el 2023-03-30
Traducción de vtamara
Hemos publicado la gema time versiones 0.1.1 y 0.2.2 que
tienen una corrección de seguridad para una vulnerabilidad ReDoS.
A esta vulnerabilidad se le ha asignado el identificador CVE
CVE-2023-28756.
Detalles
El reconocedor de la gema Time no maneja bien cadenas invalidas que tienen caracteres específicos. Esto cause un aumento en el tiempo de ejecución al reconocer cadenas del objeto Time.
Una ReDoS (Denegación de Servicio por Expresión Regular) fue descubierta en la gema Time versiones 0.1.0 y 0.2.1 la librería Time de Ruby 2.7.7.
Acción recomendada
Recomendamos actualizar la gema time a la versión
0.2.2 o posterior. Para asegurar compatibilidad con versiones
incluidas en series de Ruby anteriores, puede actualizar así:
- Para usuarios de Ruby 3.0: Actualizar a
time0.1.1 - Para usuarios de Ruby 3.1/3.2: Actualizar a
time0.2.2
Puede usar gem update time para actualizarla. Si usa bundler,
por favor añada gem "time", ">= 0.2.2" a su Gemfile.
Infortunadamente, la gema time sólo opera con Ruby 3.0 o posterior.
Si estás usando ruby 2.7, por favor usa la versión más reciente de Ruby.
Versiones afectadas
- Ruby 2.7.7 o anterior
- Gema time 0.1.0
- Gema time 0.2.1
Créditos
Agradecemos a ooooooo_q por descubrir este problema.
Historia
- Publicado originalmente el 2023-03-30 11:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23