CVE-2020-10663: Вразливість небезпечного створення об'єктів у JSON (Додаткове виправлення)

Опублікував mame 19-03-2020
Переклав: Andrii Furmanets

Є вразливість небезпечного створення об’єктів у gem json, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2020-10663. Ми настійно рекомендуємо оновити gem json.

Деталі

При парсингу певних JSON документів, gem json (включаючи той, що включено в Ruby) може бути примушений створювати довільні об’єкти в цільовій системі.

Це та сама проблема, що й CVE-2013-0269. Попереднє виправлення було неповним, яке вирішувало JSON.parse(user_input), але не вирішувало деякі інші стилі парсингу JSON, включаючи JSON(user_input) та JSON.parse(user_input, nil).

Див. CVE-2013-0269 детально. Зауважте, що проблема могла бути використана для спричинення Відмови в Обслуговуванні шляхом створення багатьох символів, які не можуть бути зібрані збирачем сміття, але цей вид атаки більше не дійсний, оскільки об’єкти Symbol тепер можуть бути зібрані збирачем сміття. Однак, створення довільних об’єктів може спричинити серйозні наслідки безпеки залежно від коду додатку.

Будь ласка, оновіть gem json до версії 2.3.0 або пізнішої. Ви можете використати gem update json для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "json", ">= 2.3.0" до вашого Gemfile.

Зачеплені версії

• JSON gem 2.2.0 або раніше

Подяка

Дякую Jeremy Evans за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2020-03-19 13:00:00 (UTC)