CVE-2021-28965: REXML'de XML gidiş-dönüş zaafiyeti

Ruby ile gelen REXML gem’inde bir XML gidiş-dönüş zaafiyeti vardır. Bu zaafiyet şu CVE belirtecine atanmıştır: CVE-2021-28965 Şiddetle REXML gem’ini yükseltmenizi tavsiye ederiz.

Ayrıntılar

Hazırlanmış bir XML belgesini işlerken ve serileştirirken, REXML gem’i (Ruby ile gelen dahil), yapısı orijinal olandan farklı olan yanlış bir XML belgesi oluşturabilir. Bu sorunun etkisi bağlama oldukça bağlıdır ancak bu sorun REXML kullanan bazı programlarda bir zaafiyete neden olabilir.

Lütfen REXML gem’ini 3.2.5 sürümü ya da sonrasına güncelleyin.

Ruby 2.6 ya da sonrasını kullanıyorsanız:

  • Lütfen Ruby 2.6.7, 2.7.3 ya da 3.0.1 kullanın.
  • Alternatif olarak bu gem’i güncellemek için gem update rexml komutunu da kullanabilirsiniz. Eğer bundler kullanıyorsanız, lütfen Gemfile‘ınıza gem "rexml", ">= 3.2.5" satırını ekleyin.

Eğer Ruby 2.5.8 ya da öncesini kullanıyorsanız:

  • Lütfen Ruby 2.5.9 kullanın.
  • Ruby 2.5.8 ya da öncesinde gem update rexml komutunu kullanamazsınız.
  • Ruby 2.5 serisinin artık hayatının sonuna ulaştığına dikkat edin, yani lütfen mümkün olan en kısa zamanda Ruby 2.6.7 ya da sonrasına yükseltme yapmayı düşünün.

Etkilenen sürümler

  • Ruby 2.5.8 ya da öncesi (Bu sürüm için gem upgrade rexml komutunu kullanamazsınız.)
  • Ruby 2.6.7 ya da öncesi
  • Ruby 2.7.2 ya da öncesi
  • Ruby 3.0.1 ya da öncesi
  • REXML gem’i 3.2.4 ya da öncesi

Teşekkürler

Bu zaafiyeti keşfettiği için Juho Nurminen‘e teşekkür ederiz.

Geçmiş

  • İlk olarak 2021-04-05 12:00:00 (UTC) tarihinde yayınlanmıştır.