CVE-2023-28756: Kerentanan ReDoS pada Time
Ditulis oleh hsbt tanggal 2023-03-30
Diterjemahkan oleh meisyal
Kami telah merilis versi gem time 0.1.1 dan 0.2.2 yang mengandung perbaikan keamanan untuk kerentanan ReDoS. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2023-28756.
Detail
Parser dari Time menangani string yang tidak valid yang memiliki karakter tertentu dengan tidak benar. Ini menyebabkan peningkatan waktu eksekusi untuk mem-parsing string menjadi objek Time.
Isu ini ditemukan pada versi gem Time 0.1.0 dan 0.2.1 serta pustaka Time dari Ruby 2.7.7.
Rekomendasi tindakan
Kami merekomendasikan untuk memperbarui gem time ke 0.2.2 atau setelahnya. Untuk memastikan kompatibilitas dengan versi yang dibundel pada rangkaian Ruby lama, Anda bisa memperbarui dengan langkah berikut:
- Untuk pengguna Ruby 3.0: Perbarui
timeke 0.1.1 - Untuk pengguna Ruby 3.1/3.2: Perbarui
timeke 0.2.2
Anda dapat menggunakan perintah gem update time. Jika Anda menggunakan bundler,
mohon tambahkan gem "time", ">= 0.2.2" pada Gemfile Anda.
Sayangnya, gem time hanya berjalan pada Ruby 3.0 atau setelahnya. Jika Anda sedang menggunakan Ruby 2.7, mohon gunakan versi Ruby terbaru.
Versi terimbas
- Ruby 2.7.7 atau sebelumnya
- gem time 0.1.0
- gem time 0.2.1
Rujukan
Terima kasih kepada ooooooo_q yang telah menemukan isu ini.
Riwayat
- Semula dipublikasikan pada 2023-03-30 11:00:00 (UTC)
Berita Baru
Ruby 3.3.0-preview3 Dirilis
Kami dengan senang hati mengumumkan rilis dari Ruby 3.3.0-preview3. Ruby 3.3 menambahkan sebuah parser baru yang bernama Prism, menggunakan Lrama sebagai parser generator, menambahkan pure-Ruby...
Ditulis oleh naruse tanggal 2023-11-12
Ruby 3.3.0-preview2 Dirilis
Ditulis oleh naruse tanggal 2023-09-14
Ruby 3.3.0-preview1 Dirilis
Ditulis oleh naruse tanggal 2023-05-12
Ruby 3.2.2 Dirilis
Ruby 3.2.2 telah dirilis.
Ditulis oleh naruse tanggal 2023-03-30