CVE-2020-10663: Lỗ hổng tạo đối tượng không an toàn trong JSON (Bản sửa bổ sung)

Đăng bởi mame vào 19 Mar 2020

Một lỗ hổng tạo đối tượng không an toàn đã được phát hiện trong gem json đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2020-10663. Chúng tôi khuyến nghị bạn nâng cấp gem json ngay.

Chi tiết

Khi phân tích một số tài liệu JSON nhất định, gem json (bao gồm cả phiên bản đi kèm với Ruby) có thể bị ép buộc tạo ra các đối tượng tùy ý trong hệ thống đích.

Đây là cùng một vấn đề như CVE-2013-0269. Bản sửa trước đó chưa hoàn chỉnh, chỉ xử lý được JSON.parse(user_input), nhưng chưa xử lý một số kiểu phân tích JSON khác bao gồm JSON(user_input) và JSON.parse(user_input, nil).

Xem CVE-2013-0269 để biết chi tiết. Lưu ý rằng vấn đề này có thể bị khai thác để gây ra tấn công từ chối dịch vụ (Denial of Service) bằng cách tạo nhiều đối tượng Symbol không thể thu hồi bởi bộ thu gom rác, tuy nhiên kiểu tấn công này không còn hiệu quả nữa vì các đối tượng Symbol hiện đã có thể được thu hồi bởi bộ thu gom rác. Tuy nhiên, việc tạo các đối tượng tùy ý có thể gây ra hậu quả bảo mật nghiêm trọng tùy thuộc vào mã ứng dụng.

Vui lòng cập nhật gem json lên phiên bản 2.3.0 hoặc mới hơn. Bạn có thể sử dụng gem update json để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "json", ">= 2.3.0" vào Gemfile của bạn.

Các phiên bản bị ảnh hưởng

• JSON gem 2.2.0 hoặc trước đó

Ghi công

Cảm ơn Jeremy Evans đã phát hiện vấn đề này.

Lịch sử

• Originally published at 2020-03-19 13:00:00 (UTC)