CVE-2020-10663: Vulnerabilidad de Creación Insegura de Objetos en JSON (Corrección adicional)

Hay una vulnerabilidad en la creación insegura de objetos en la gema json distribuida con Ruby. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2020-10663. Recomendamos enfáticamente actualizar la gema json.

Detalles

Cuando se reconocen ciertos documentos JSON, la gema json (incluyendo la que se distribuye con Ruby) puede obligarse a crear objetos arbitrarios en el sistema.

Este es el mismo problema del CVE-2013-0269. La corrección anterior estuvo incompleta, pues tuvo en cuenta JSON.parse(datos_usuario), pero no tuvo en cuenta otros estilos de reconocimiento JSON incluyendo JSON(datos_usuario) y JSON.parse(datos_usuario, nil).

Ver detalles en CVE-2013-0269. Note que el problema podía explotarse para causar un Denegación de Servicio al crear muchos objetos Symbol que no podían ser recolectados por el recolector de basura, pero ese tipo de ataque ya no es viable porque los objetos Symbol ahora puede ser procesados por el recolector de basura. Sin embargo, la posibilidad de crear objetos arbitrarios puede tener graves consecuencias de seguridad dependiendo del código de la aplicación.

Por favor actualice la gem json a la verisón 2.3.0 o posterior. Para actualizar puede usar gem update json. Si está usando bundler, por favro añada gem "json", ">= 2.3.0" a sus Gemfile.

Versiones afectadas

  • gem JSON 2.2.0 y previas

Creditos

Agradecemos a Jeremy Evans por descubrir este problema.

Historia

  • Publicado originalmente el 2020-03-19 13:00:00 (UTC)