Posté par mame le 2021-11-24
Traduit par Kevin Rosaz
Une vulnérabilité de dépassement de mémoire tampon a été découverte dans CGI.escape_html. Cette vulnérabilité a reçu l’identifiant CVE CVE-2021-41816. Nous vous recommandons fortement de mettre à jour Ruby.
Détails
Cette vulnérabilité de sécurité provoque un débordement de la mémoire tampon lorsque vous transmettez une très grande chaîne de caractères (> 700 Mo) à CGI.escape_html sur une plate-forme où le type long prend 4 octets, généralement Windows.
Veuillez mettre à jour la gemme cgi vers la version 0.3.1, 0.2.1, 0.1.1 ou ultérieure. Vous pouvez utiliser gem update cgi pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter gem "cgi", ">= 0.3.1" à votre Gemfile.
Vous pouvez également mettre à jour Ruby vers la version 2.7.5 ou 3.0.3.
Ce problème a été introduit depuis Ruby 2.7, donc la version cgi fournie avec Ruby 2.6 n’est pas vulnérable.
Versions concernées
- Gemme cgi 0.1.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
- Gemme cgi 0.2.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
- Gemme cgi 0.3.0 ou antérieure
Remerciements
Merci à chamal pour la découverte de ce problème.
Historique
- Paru initialement le 2021-11-24 12:00:00 (UTC)