CVE-2023-36617: Lỗ hổng ReDoS trong URI

Đăng bởi hsbt vào 29 Jun 2023

Chúng tôi đã phát hành gem uri phiên bản 0.12.2, 0.10.3 với bản vá bảo mật cho lỗ hổng ReDoS. Lỗ hổng này đã được gán mã CVE CVE-2023-36617.

Chi tiết

Một vấn đề ReDoS đã được phát hiện trong thành phần URI đến phiên bản 0.12.1 cho Ruby. Trình phân tích URI xử lý không đúng các URL không hợp lệ có các ký tự cụ thể. Có sự gia tăng thời gian thực thi khi phân tích chuỗi thành đối tượng URI với rfc2396_parser.rb và rfc3986_parser.rb.

LƯU Ý: vấn đề này tồn tại do bản sửa không hoàn chỉnh cho CVE-2023-28755.

Gem uri phiên bản 0.12.1 và tất cả các phiên bản trước 0.12.1 đều bị ảnh hưởng bởi lỗ hổng này.

Hành động khuyến nghị

Chúng tôi khuyến nghị cập nhật gem uri lên 0.12.2. Để đảm bảo tương thích với phiên bản đi kèm trong các dòng Ruby cũ hơn, bạn có thể cập nhật như sau:

• Với Ruby 3.0: Cập nhật lên uri 0.10.3
• Với Ruby 3.1: Cập nhật lên uri 0.12.2
• Với Ruby 3.2: Cập nhật lên uri 0.12.2, hoặc cập nhật lên Ruby 3.2.3

Bạn có thể sử dụng gem update uri để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "uri", ">= 0.12.2" (hoặc phiên bản khác được đề cập ở trên) vào Gemfile của bạn.

Các phiên bản bị ảnh hưởng

• gem uri 0.12.1 trở về trước

Ghi công

Cảm ơn ooooooo_q đã phát hiện vấn đề này.

Cảm ơn nobu đã sửa vấn đề này.

Lịch sử

• Thêm hành động khuyến nghị mới cho Ruby 3.2 vào 2024-01-18 12:00:00 (UTC)
• Công bố lần đầu vào 2023-06-29 01:00:00 (UTC)