Escrito por usa em 14/09/2017
Traduzido por jcserracampos
Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.
Detalhes
O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State.
Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.
Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.
Versões Afetadas
- Série Ruby 2.2: 2.2.7 e anteriores
- Série Ruby 2.3: 2.3.4 e anteriores
- Série Ruby 2.4: 2.4.1 e anteriores
- antes da revisão do tronco 58323
Soluções Alternativas
A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.
Crédito
Agradecimentos a ahmadsherif por reportar este problema.
Histórico
- Originalmente publicado em 14/09/2017 12:00:00 (UTC)