CVE-2017-14064: Vulnerabilidade de exposição de heap no JSON gerado
Escrito por usa em 14/09/2017
Traduzido por jcserracampos
Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.
Detalhes
O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State.
Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.
Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.
Versões Afetadas
- Série Ruby 2.2: 2.2.7 e anteriores
- Série Ruby 2.3: 2.3.4 e anteriores
- Série Ruby 2.4: 2.4.1 e anteriores
- antes da revisão do tronco 58323
Soluções Alternativas
A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.
Crédito
Agradecimentos a ahmadsherif por reportar este problema.
Histórico
- Originalmente publicado em 14/09/2017 12:00:00 (UTC)
Notícias Recentes
Ruby 3.4.2 Lançado
Ruby 3.4.2 foi lançado.
Escrito por k0kubun em 14/02/2025
Ruby 3.2.7 Lançado
Ruby 3.2.7 foi lançado.
Escrito por nagachika em 04/02/2025
Ruby 3.3.7 Lançado
Ruby 3.3.7 foi lançado.
Escrito por k0kubun em 15/01/2025
Ruby 3.4.1 Lançado
Ruby 3.4.1 foi lançado.
Escrito por naruse em 25/12/2024