Publicado por hsbt el 2023-03-30
Traducción de vtamara

Hemos publicado la gema time versiones 0.1.1 y 0.2.2 que tienen una corrección de seguridad para una vulnerabilidad ReDoS. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2023-28756.

Detalles

El reconocedor de la gema Time no maneja bien cadenas invalidas que tienen caracteres específicos. Esto cause un aumento en el tiempo de ejecución al reconocer cadenas del objeto Time.

Una ReDoS (Denegación de Servicio por Expresión Regular) fue descubierta en la gema Time versiones 0.1.0 y 0.2.1 la librería Time de Ruby 2.7.7.

Acción recomendada

Recomendamos actualizar la gema time a la versión 0.2.2 o posterior. Para asegurar compatibilidad con versiones incluidas en series de Ruby anteriores, puede actualizar así:

• Para usuarios de Ruby 3.0: Actualizar a time 0.1.1
• Para usuarios de Ruby 3.1/3.2: Actualizar a time 0.2.2

Puede usar gem update time para actualizarla. Si usa bundler, por favor añada gem "time", ">= 0.2.2" a su Gemfile.

Infortunadamente, la gema time sólo opera con Ruby 3.0 o posterior. Si estás usando ruby 2.7, por favor usa la versión más reciente de Ruby.

Versiones afectadas

• Ruby 2.7.7 o anterior
• Gema time 0.1.0
• Gema time 0.2.1

Créditos

Agradecemos a ooooooo_q por descubrir este problema.

Historia

• Publicado originalmente el 2023-03-30 11:00:00 (UTC)

Feeds de noticias (RSS)

En español