CVE-2023-28755: URI 包中的 ReDoS 漏洞

由 hsbt 发表于 2023-03-28
翻译： GAO Jun

我们刚发布了包含 ReDoS 漏洞补丁的 uri gem 版本 0.12.1，0.11.1，0.10.2 和 0.10.0.1。 此漏洞的 CVE 编号为 CVE-2023-28755。

详情

在 URI 组件中发现了一个 ReDoS 问题。URI 解析器会错误处理包含特殊字符的错误 URL。这会导致将字符串解析为 URI 的处理时间增长。

受此漏洞影响的 uri gem 版本包括：0.12.0，0.11.0，0.10.1，0.10.0 以及 0.10.0 之前的版本。

建议操作

我们建议将 uri gem 更新到 0.12.1。为了保证各个 Ruby 系列中绑定版本的兼容性您也可以按照下列方式进行更新：

• Ruby 2.7：更新 uri 至 0.10.0.1
• Ruby 3.0：更新 uri 至 0.10.2
• Ruby 3.1：更新 uri 至 0.11.1
• Ruby 3.2：更新 uri 至 0.12.1

您可以通过 gem update uri 进行更新。如果您使用 bundler，请在您的 Gemfile 中增加 gem "uri", ">= 0.12.1" （或上面提到的其他版本）。

受影响版本

• uri gem 0.12.0
• uri gem 0.11.0
• uri gem 0.10.1
• uri gem 0.10.0 及之前版本

致谢

感谢 Dominic Couture 发现此问题。

历史

• 最初发布于 2023-03-28 01:00:00 (UTC)
• 受影响版本更新于 2023-03-28 02:00:00 (UTC)