CVE-2023-28756:Time 包中的 ReDoS 漏洞
由 hsbt 发表于 2023-03-30
翻译: GAO Jun
我们刚发布了包含 ReDos 漏洞补丁的 time gem 版本 0.1.1 和 0.2.2。
此漏洞的 CVE编号为 CVE-2023-28756.
详情
Time 解析器会错误处理包含特殊字符的错误字符串。这会导致将字符串解析为时间的处理时间变长。
受此 ReDoS 问题影响的 time gem 版本包括:0.1.0,0.2.1 以及 Ruby 2.7.7 中使用的版本。
建议操作
我们建议将 time gem 更新到 0.2.2 或后续版本。为了保证各个 Ruby 系列中绑定版本的兼容性,您可以参照下面的提示进行更新:
- Ruby 3.0 用户:更新
time至 0.1.1 - Ruby 3.1/3.2 用户:更新
time至 0.2.2
您可以通过 gem update time 进行更新。如果您使用 bundler,请在您的 Gemfile中增加 gem "time", ">= 0.2.2"。
不幸的是,time gem 的操作只能用于 Ruby 3.0 及之后的版本。如果您正在使用 Ruby 2.7,请使用最新版本的 Ruby。
受影响版本
- Ruby 2.7.7 及之前版本
timegem 0.1.0timegem 0.2.1
致谢
感谢 ooooooo_q 发现此问题。
历史
- 最初发布于 2023-03-30 11:00:00 (UTC)
最新消息
Ruby 4.0.5 已发布
Ruby 4.0.5 已发布。
由 k0kubun 发表于 2026-05-20
Ruby 4.0.4 已发布
Ruby 4.0.4 已发布。
由 k0kubun 发表于 2026-05-11
Ruby 4.0.3 已发布
Ruby 4.0.3 已发布。
由 k0kubun 发表于 2026-04-21
Ruby 3.2.11 已发布
Ruby 3.2.11 已发布。 此版本包括了 处理 CVE-2026-27820 的 zlib gem 更新。
由 hsbt 发表于 2026-03-27