CVE-2023-28756: Вразливість ReDoS у Time

Опублікував hsbt 30-03-2023
Переклав: Andrii Furmanets

Ми випустили версії gem time 0.1.1 та 0.2.2, які мають виправлення безпеки для уразливості ReDoS. Цій уразливості присвоєно ідентифікатор CVE CVE-2023-28756.

Деталі

Парсер Time неправильно обробляє недійсні рядки, які мають специфічні символи. Це спричиняє збільшення часу виконання для парсингу рядків до об’єктів Time.

Проблему ReDoS виявлено в gem Time 0.1.0 та 0.2.1 та бібліотеці Time Ruby 2.7.7.

Рекомендована дія

Ми рекомендуємо оновити gem time до версії 0.2.2 або пізнішої. Щоб забезпечити сумісність з bundled версією в старіших серіях Ruby, ви можете оновити наступним чином:

• Для користувачів Ruby 3.0: Оновіть до time 0.1.1
• Для користувачів Ruby 3.1/3.2: Оновіть до time 0.2.2

Ви можете використовувати gem update time для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "time", ">= 0.2.2" до вашого Gemfile.

На жаль, gem time працює лише з Ruby 3.0 або пізнішими. Якщо ви використовуєте Ruby 2.7, будь ласка, використовуйте останню версію Ruby.

Зачеплені версії

• Ruby 2.7.7 або нижчі
• Gem time 0.1.0
• Gem time 0.2.1

Подяки

Дякуємо ooooooo_q за виявлення цієї проблеми.

Історія

• Оригінально опубліковано 2023-03-30 11:00:00 (UTC)