CVE-2017-14064: 在生成 JSON 時堆積暴露的安全性風險

由 usa 發表於 2017-09-14
翻譯： Vincent Lin

Ruby 內建的 JSON 含有堆積暴露的安全性風險，此風險的 CVE 識別號已被指派為 CVE-2017-14064。

詳情

JSON 模組的 generate 方法可選擇性地接受 JSON::Ext::Generator::State 類別的實體，如果傳遞了惡意的實體，結果可能會包含堆積的內容。

所有正在使用受影響版本的使用者應立即升級或是採用應急辦法。

受影響版本

• Ruby 2.2 系列: 2.2.7 以及之前的版本
• Ruby 2.3 系列: 2.3.4 以及之前的版本
• Ruby 2.4 系列: 2.4.1 以及之前的版本
• trunk revision 58323 之前的版本

應急辦法

JSON 同樣的也使用 gem 做發布，如果你無法升級 Ruby 本身，請安裝 2.0.4 版本之後的 JSON。

致謝

感謝 ahmadsherif 回報此問題。

歷史

• 初次發佈於 2017-09-14 12:00:00 (UTC)