CVE-2023-28755: Lỗ hổng ReDoS trong URI

Đăng bởi hsbt vào 28 Mar 2023

Chúng tôi đã phát hành gem uri phiên bản 0.12.1, 0.11.1, 0.10.2 và 0.10.0.1 với bản vá bảo mật cho lỗ hổng ReDoS. Lỗ hổng này đã được gán mã CVE CVE-2023-28755.

Chi tiết

Một vấn đề ReDoS đã được phát hiện trong thành phần URI. Trình phân tích URI xử lý không đúng các URL không hợp lệ có các ký tự cụ thể. Điều này gây ra sự gia tăng thời gian thực thi khi phân tích chuỗi thành đối tượng URI.

Gem uri phiên bản 0.12.0, 0.11.0, 0.10.1, 0.10.0 và tất cả các phiên bản trước 0.10.0 đều bị ảnh hưởng bởi lỗ hổng này.

Hành động khuyến nghị

Chúng tôi khuyến nghị cập nhật gem uri lên 0.12.1. Để đảm bảo tương thích với phiên bản đi kèm trong các dòng Ruby cũ hơn, bạn có thể cập nhật như sau:

• Với Ruby 2.7: Cập nhật lên uri 0.10.0.1
• Với Ruby 3.0: Cập nhật lên uri 0.10.2
• Với Ruby 3.1: Cập nhật lên uri 0.11.1
• Với Ruby 3.2: Cập nhật lên uri 0.12.1

Bạn có thể sử dụng gem update uri để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "uri", ">= 0.12.1" (hoặc phiên bản khác được đề cập ở trên) vào Gemfile của bạn.

Các phiên bản bị ảnh hưởng

• gem uri 0.12.0
• gem uri 0.11.0
• gem uri 0.10.1
• gem uri 0.10.0 trở về trước

Ghi công

Cảm ơn Dominic Couture đã phát hiện vấn đề này.

Lịch sử

• Công bố lần đầu vào 2023-03-28 01:00:00 (UTC)
• Cập nhật các phiên bản bị ảnh hưởng vào 2023-03-28 02:00:00 (UTC)
• Cập nhật URL mã CVE vào 2023-03-28 04:00:00 (UTC)