Geschrieben von usa am 14.9.2017
Übersetzt von Marvin Gülker
Es gibt ein Sicherheitsproblem mit dem in Ruby enthaltenen JSON-Modul, bei dem Teile des Heaps öffentlich werden können. Dieser Schwachstelle wurde die CVE-Nummer CVE-2017-14064 zugewiesen.
Details
Die Methode generate des Moduls JSON akzeptiert optional eine
Instanz der Klasse JSON::Ext::Generator::State. Wenn eine böswillige
Instanz übergeben wird, kann das Ergebnis Inhalte aus dem Heap
enthalten.
Alle Nutzer einer betroffenen Version sollten entweder aktualisieren oder umgehend einen der folgenden Workarounds anwenden.
Betroffene Versionen
- 2.2er Serie: 2.2.7 und früher
- 2.3er Serie: 2.3.4 und früher
- 2.4er Serie: 2.4.1 und früher
- Trunk vor Revision 58323
Workaround
Die JSON-Bibliothek wird auch als Gem verteilt. Wenn Sie Ruby selbst nicht aktualisieren können, installieren Sie stattdessen das JSON-Gem in einer Version neuer als 2.0.4.
Danksagung
Dank an ahmadsherif für die Meldung des Problems.
Historie
- Erstmals veröffentlicht am 2017-09-14 12:00:00 (UTC)