CVE-2021-28965: Kerentanan XML round-trip pada REXML

Ada sebuah kerentanan XML round-trip pada gem REXML yang di-bundle dengan Ruby. Kerentanan ini telah ditetapkan sebagai penanda CVE-2021-28965. Kami sangat merekomendasikan untuk memperbarui gem REXML.

Detail

Ketika parsing dan serializing sebuah dokumen XML, gem REXML (termasuk yang di-bundle dengan Ruby) dapat membuat sebuah dokumen XML yang salah di mana struktur dokumen berbeda dengan aslinya. Dampak dari masalah ini sangat bergantung dengan konteks, tetapi ini bisa menyebabkan kerentanan pada beberapa program yang menggunakan REXML.

Mohon perbarui gem REXML ke versi 3.2.5 atau setelahnya.

Jika Anda sedang menggunakan Ruby 2.6 atau setelahnya:

  • Mohon gunakan Ruby 2.6.7, 2.7.3, atau 3.0.1.
  • Kemungkinan lain, Anda dapat menjalankan gem update rexml untuk memperbarui. Jika Anda menggunakan bundler, mohon tambahkan gem "rexml", ">= 3.2.5" pada Gemfile.

Jika Anda sedang menggunakan Ruby 2.5.8 atau sebelumnya:

  • Mohon gunakan Ruby 2.5.9.
  • Anda tidak dapat menjalankan gem update rexml pada Ruby 2.5.8 atau sebelumnya.
  • Catat bahwa rangkaian Ruby 2.5 saat ini EOL, sehingga pertimbangkan untuk memperbarui ke 2.6.7 atau setelahnya segera mungkin.

Versi terimbas

  • Ruby 2.5.8 atau sebelumnya (Anda tidak dapat menjalankan gem upgrade rexml pada versi ini.)
  • Ruby 2.6.6 atau sebelumnya
  • Ruby 2.7.2 atau sebelumnya
  • Ruby 3.0.0
  • Gem REXML 3.2.4 atau sebelumnya

Rujukan

Terima kasih kepada Juho Nurminen yang telah menemukan masalah ini.

Riwayat

  • Semula dipublikasikan pada 2021-04-05 12:00:00 (UTC)