CVE-2021-28965: REXML 内の XML ラウンドトリップ脆弱性について

Posted by mame on 5 Apr 2021
Translated by jinroq

Ruby にバンドルされている REXML gem に XML ラウンドトリップ脆弱性が発見されました。 この脆弱性は CVE-2021-28965 として登録されています。 REXML gem をアップグレードすることを強く推奨します。

詳細

特定の加工が施された XML ドキュメントをパーシングおよびシリアル化する場合、REXML gem（Ruby にバンドルされているものを含む）は、元のドキュメントとは構造が異なる誤った XML ドキュメントを生成する可能性があります。 この問題の影響はコンテキストによって大きく異なりますが、REXML を使用している一部のプログラムでは脆弱性が生じる可能性があります。

REXML gem をバージョン 3.2.5 以降に更新してください。

Ruby 2.6 以降を使用している場合:

• Ruby 2.6.7、2.7.3、もしくは 3.0.1 を使ってください
• または gem update rexml で更新することもできます。bundler を使用している場合は、Gemfile に gem "rexml", ">= 3.2.5" を追加してください

Ruby 2.5.8 以前を使用している場合:

• Ruby 2.5.9 を使ってください
• Ruby 2.5.8 以前では gem update rexml を実行できません
• Ruby 2.5 系列は現在 EOL であるため、Ruby を 2.6.7 以降に可能な限り早く更新することを検討してください

影響を受けるバージョン

• Ruby​​ 2.5.8 以前（このバージョンでは gem update rexml を実行できません。）
• Ruby​​ 2.6.6 以前
• Ruby​​ 2.7.2 以前
• Ruby​​ 3.0.0
• REXML gem 3.2.4 以前

クレジット

この脆弱性情報は Juho Nurminen 氏によって報告されました。

更新履歴

• 2021-04-05 21:00:00 (JST) 初版