CVE-2023-28755: Вразливість ReDoS у URI

Опублікував hsbt 28-03-2023
Переклав: Andrii Furmanets

Ми випустили версії gem uri 0.12.1, 0.11.1, 0.10.2 та 0.10.0.1, які мають виправлення безпеки для уразливості ReDoS. Цій уразливості присвоєно ідентифікатор CVE CVE-2023-28755.

Деталі

Проблему ReDoS виявлено в компоненті URI. Парсер URI неправильно обробляє недійсні URL, які мають специфічні символи. Це спричиняє збільшення часу виконання для парсингу рядків до об’єктів URI.

Версія gem uri 0.12.0, 0.11.0, 0.10.1, 0.10.0 та всі версії до 0.10.0 вразливі для цієї уразливості.

Рекомендована дія

Ми рекомендуємо оновити gem uri до 0.12.1. Щоб забезпечити сумісність з bundled версією в старіших серіях Ruby, ви можете оновити наступним чином:

• Для Ruby 2.7: Оновіть до uri 0.10.0.1
• Для Ruby 3.0: Оновіть до uri 0.10.2
• Для Ruby 3.1: Оновіть до uri 0.11.1
• Для Ruby 3.2: Оновіть до uri 0.12.1

Ви можете використовувати gem update uri для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "uri", ">= 0.12.1" (або іншу версію, згадану вище) до вашого Gemfile.

Зачеплені версії

• Gem uri 0.12.0
• Gem uri 0.11.0
• Gem uri 0.10.1
• Gem uri 0.10.0 або раніші

Подяки

Дякуємо Dominic Couture за виявлення цієї проблеми.

Історія

• Оригінально опубліковано 2023-03-28 01:00:00 (UTC)
• Оновлено зачеплені версії 2023-03-28 02:00:00 (UTC)
• Оновлено URL ідентифікатора CVE 2023-03-28 04:00:00 (UTC)