CVE-2021-28965: Lỗ hổng round-trip XML trong REXML

Đăng bởi mame vào 5 Apr 2021

Có một lỗ hổng round-trip XML trong gem REXML đi kèm với Ruby. Lỗ hổng này đã được gán mã định danh CVE CVE-2021-28965. Chúng tôi khuyến nghị nâng cấp gem REXML.

Chi tiết

Khi phân tích và tuần tự hóa một tài liệu XML được tạo thủ công, gem REXML (bao gồm cả phiên bản đi kèm với Ruby) có thể tạo ra một tài liệu XML sai có cấu trúc khác với bản gốc. Tác động của vấn đề này phụ thuộc nhiều vào ngữ cảnh, nhưng nó có thể dẫn đến lỗ hổng trong một số chương trình sử dụng REXML.

Vui lòng cập nhật gem REXML lên phiên bản 3.2.5 hoặc mới hơn.

Nếu bạn đang sử dụng Ruby 2.6 trở lên:

• Vui lòng sử dụng Ruby 2.6.7, 2.7.3 hoặc 3.0.1.
• Ngoài ra, bạn có thể sử dụng gem update rexml để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "rexml", ">= 3.2.5" vào Gemfile của bạn.

Nếu bạn đang sử dụng Ruby 2.5.8 trở về trước:

• Vui lòng sử dụng Ruby 2.5.9.
• Bạn không thể sử dụng gem update rexml cho Ruby 2.5.8 trở về trước.
• Lưu ý rằng dòng Ruby 2.5 hiện đã EOL, vì vậy vui lòng cân nhắc nâng cấp Ruby lên 2.6.7 hoặc mới hơn càng sớm càng tốt.

Các phiên bản bị ảnh hưởng

• Ruby 2.5.8 hoặc trước đó (Bạn KHÔNG THỂ sử dụng gem update rexml cho phiên bản này.)
• Ruby 2.6.6 hoặc trước đó
• Ruby 2.7.2 hoặc trước đó
• Ruby 3.0.0
• REXML gem 3.2.4 hoặc trước đó

Ghi công

Cảm ơn Juho Nurminen đã phát hiện vấn đề này.

Lịch sử

• Công bố lần đầu vào 2021-04-05 12:00:00 (UTC)