CVE-2017-14064: Lỗ hổng lộ heap khi tạo JSON

Đăng bởi usa vào 14 Sep 2017

Có một lỗ hổng lộ heap trong JSON được đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2017-14064.

Chi tiết

Phương thức generate của module JSON tùy chọn chấp nhận một thể hiện của lớp JSON::Ext::Generator::State. Nếu một thể hiện độc hại được truyền vào, kết quả có thể bao gồm nội dung của heap.

Tất cả người dùng đang chạy phiên bản bị ảnh hưởng nên nâng cấp hoặc sử dụng một trong các biện pháp khắc phục ngay lập tức.

Các phiên bản bị ảnh hưởng

• Ruby nhánh 2.2: 2.2.7 và trước đó
• Ruby nhánh 2.3: 2.3.4 và trước đó
• Ruby nhánh 2.4: 2.4.1 và trước đó
• trước trunk revision 58323

Biện pháp khắc phục

Thư viện JSON cũng được phân phối dưới dạng gem. Nếu bạn không thể nâng cấp Ruby, hãy cài đặt gem JSON phiên bản mới hơn 2.0.4.

Ghi công

Cảm ơn ahmadsherif đã báo cáo vấn đề này.

Lịch sử

• Được công bố lần đầu vào 2017-09-14 12:00:00 (UTC)