CVE-2023-36617: Вразливість ReDoS у URI

Опублікував hsbt 29-06-2023
Переклав: Andrii Furmanets

Ми випустили версії gem uri 0.12.2 та 0.10.3, які мають виправлення безпеки для уразливості ReDoS. Цій уразливості присвоєно ідентифікатор CVE CVE-2023-36617.

Деталі

Проблему ReDoS виявлено в компоненті URI через 0.12.1 для Ruby. Парсер URI неправильно обробляє недійсні URL, які мають специфічні символи. Є збільшення часу виконання для парсингу рядків до об’єктів URI з rfc2396_parser.rb та rfc3986_parser.rb.

ПРИМІТКА: ця проблема існує через неповне виправлення для CVE-2023-28755.

Версія gem uri 0.12.1 та всі версії до 0.12.1 вразливі для цієї уразливості.

Рекомендована дія

Ми рекомендуємо оновити gem uri до 0.12.2. Щоб забезпечити сумісність з bundled версією в старіших серіях Ruby, ви можете оновити наступним чином:

• Для Ruby 3.0: Оновіть до uri 0.10.3
• Для Ruby 3.1: Оновіть до uri 0.12.2
• Для Ruby 3.2: Оновіть до uri 0.12.2, або оновіть до Ruby 3.2.3

Ви можете використовувати gem update uri для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "uri", ">= 0.12.2" (або іншу версію, згадану вище) до вашого Gemfile.

Зачеплені версії

• Gem uri 0.12.1 або раніші

Подяки

Дякуємо ooooooo_q за виявлення цієї проблеми.

Дякуємо nobu за виправлення цієї проблеми.

Історія

• Додано нову рекомендовану дію для Ruby 3.2 2024-01-18 12:00:00 (UTC)
• Оригінально опубліковано 2023-06-29 01:00:00 (UTC)