CVE-2021-28965: Вразливість XML round-trip в REXML

Опублікував mame 05-04-2021
Переклав: Andrii Furmanets

Є вразливість XML round-trip в gem REXML, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2021-28965. Ми настійно рекомендуємо оновити gem REXML.

Деталі

При парсингу та серіалізації сконструйованого XML документа, gem REXML (включаючи той, що включено в Ruby) може створити неправильний XML документ, структура якого відрізняється від оригінальної. Вплив цієї проблеми сильно залежить від контексту, але вона може призвести до вразливості в деяких програмах, які використовують REXML.

Будь ласка, оновіть gem REXML до версії 3.2.5 або пізнішої.

Якщо ви використовуєте Ruby 2.6 або пізніші:

• Будь ласка, використовуйте Ruby 2.6.7, 2.7.3, або 3.0.1.
• Альтернативно, ви можете використати gem update rexml для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "rexml", ">= 3.2.5" до вашого Gemfile.

Якщо ви використовуєте Ruby 2.5.8 або раніше:

• Будь ласка, використовуйте Ruby 2.5.9.
• Ви не можете використати gem update rexml для Ruby 2.5.8 або раніше.
• Зауважте, що серія Ruby 2.5 тепер EOL, тому будь ласка, розгляньте оновлення Ruby до 2.6.7 або пізніших якнайшвидше.

Зачеплені версії

• Ruby 2.5.8 або раніше (Ви НЕ МОЖЕТЕ використати gem update rexml для цієї версії.)
• Ruby 2.6.6 або раніше
• Ruby 2.7.2 або раніше
• Ruby 3.0.0
• REXML gem 3.2.4 або раніше

Подяка

Дякую Juho Nurminen за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2021-04-05 12:00:00 (UTC)