Рекомендации по безопасности: CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221

Опубликовал hsbt 26-02-2025
Перевел: ablzh

Мы опубликовали рекомендации по безопасности для CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221. Подробности читайте ниже.

CVE-2025-27219: Denial of Service в CGI::Cookie.parse.

Существует возможность DoS в геме cgi. Этой уязвимости присвоен CVE идентификатор CVE-2025-27219. Мы рекомендуем обновить гем cgi.

Подробности

CGI::Cookie.parse в некоторых случаях требовал сверхлинейное время для разбора строки cookie. Передача вредоносно сформированной строки cookie в метод может привести к отказу в обслуживании.

Пожалуйста, обновите гем CGI до версии 0.3.5.1, 0.3.7, 0.4.2 или новее.

Уязвимые версии

• гем cgi версии <= 0.3.5, 0.3.6, 0.4.0 и 0.4.1.

Благодарности

Спасибо lio346 за обнаружение этой проблемы. Также спасибо mame за исправление этой уязвимости.

CVE-2025-27220: ReDoS в CGI::Util#escapeElement.

Существует возможность ReDoS (Regular expression Denial of Service) в геме cgi. Этой уязвимости присвоен CVE идентификатор CVE-2025-27220. Мы рекомендуем обновить гем cgi.

Подробности

Регулярное выражение, используемое в CGI::Util#escapeElement уязвимо к ReDoS Специально созданный ввод может привести к высокому потреблению ресурсов процессора.

Эта уязвимость затрагивает только Ruby 3.1 и 3.2. Если вы используете эти версии, пожалуйста, обновите гем CGI до версии 0.3.5.1, 0.3.7, 0.4.2 или новее.

Уязвимые версии

• гем cgi версии <= 0.3.5, 0.3.6, 0.4.0 и 0.4.1.

Благодарности

Спасибо svalkanov за обнаружение этой проблемы. Также спасибо nobu за исправление этой уязвимости.

CVE-2025-27221: Утечка userinfo в URI#join, URI#merge и URI#+.

Существует возможность утечки userinfo в геме uri. Этой уязвимости присвоен CVE идентификатор CVE-2025-27221. Мы рекомендуем обновить гем uri.

Подробности

Методы URI#join, URI#merge и URI#+ сохраняли userinfo, такой как user:password, даже после замены хоста. При генерации URL-адреса для вредоносного хоста из URL, содержащего секретный userinfo, с использованием этих методов, и последующем переходе пользователя по этому URL, может произойти непреднамеренная утечка userinfo.

Пожалуйста, обновите гем URI до версии 0.11.3, 0.12.4, 0.13.2, 1.0.3 или новее.

Уязвимые версии

• гем uri версии < 0.11.3, с 0.12.0 до 0.12.3, 0.13.0, 0.13.1 и с 1.0.0 до 1.0.2.

Благодарности

Спасибо Tsubasa Irisawa (lambdasawa) за обнаружение этой проблемы. Также спасибо nobu за дополнительные исправления этой уязвимости.

История

• Впервые опубликовано 2025-02-26 7:00:00 (UTC)