CVE-2017-14064: Kerentanan tereksposnya heap saat menghasilkan JSON
Ditulis oleh usa tanggal 2017-09-14
Diterjemahkan oleh meisyal
Ada sebuah kerentanan tereksposnya heap pada JSON yang di-bundle oleh Ruby. Kerentanan ini telah ditetapkan sebagai CVE-2017-14064.
Detail
Method generate dari modul JSON opsional menerima sebuah objek dari kelas JSON::Ext::Generator::State.
Jika sebuah objek yang berbahaya dilewati, hasilnya mungkin mengandung isi dari heap.
Semua pengguna yang sedang menggunakan rilis yang terkena imbas ini sebaiknya segera memperbarui atau menggunakan solusi yang ada.
Versi Terimbas
- rangkaian Ruby 2.2: 2.2.7 dan sebelumnya
- rangkaian Ruby 2.3: 2.3.4 dan sebelumnya
- rangkaian Ruby 2.4: 2.4.1 dan sebelumnya
- sebelum revisi trunk 58323
Solusi
Pustaka JSON juga didistribusikan dalam sebuah gem. Jika Anda tidak dapat memperbarui Ruby itu sendiri, pasang gem JSON lebih baru dari versi 2.0.4.
Rujukan
Terima kasih kepada ahmadsherif yang telah melaporkan masalah ini.
Riwayat
- Semula dipublikasikan pada 2017-09-14 12:00:00 (UTC)
Berita Baru
Ruby 3.3.0-preview3 Dirilis
Kami dengan senang hati mengumumkan rilis dari Ruby 3.3.0-preview3. Ruby 3.3 menambahkan sebuah parser baru yang bernama Prism, menggunakan Lrama sebagai parser generator, menambahkan pure-Ruby...
Ditulis oleh naruse tanggal 2023-11-12
Ruby 3.3.0-preview2 Dirilis
Ditulis oleh naruse tanggal 2023-09-14
Ruby 3.3.0-preview1 Dirilis
Ditulis oleh naruse tanggal 2023-05-12
Ruby 3.2.2 Dirilis
Ruby 3.2.2 telah dirilis.
Ditulis oleh naruse tanggal 2023-03-30