CVE-2017-14064: 在生成 JSON 時堆積暴露的安全性風險

Ruby 內建的 JSON 含有堆積暴露的安全性風險,此風險的 CVE 識別號已被指派為 CVE-2017-14064

詳情

JSON 模組的 generate 方法可選擇性地接受 JSON::Ext::Generator::State 類別的實體,如果傳遞了惡意的實體,結果可能會包含堆積的內容。

所有正在使用受影響版本的使用者應立即升級或是採用應急辦法。

受影響版本

  • Ruby 2.2 系列: 2.2.7 以及之前的版本
  • Ruby 2.3 系列: 2.3.4 以及之前的版本
  • Ruby 2.4 系列: 2.4.1 以及之前的版本
  • trunk revision 58323 之前的版本

應急辦法

JSON 同樣的也使用 gem 做發布,如果你無法升級 Ruby 本身,請安裝 2.0.4 版本之後的 JSON。

致謝

感謝 ahmadsherif 回報此問題。

歷史

  • 初次發佈於 2017-09-14 12:00:00 (UTC)