Publicado por hsbt el 2023-06-29
Traducción de vtamara
Hemos publicado la gema uri versión 0.12.2 y 0.10.3 que incluyen solución a una falla de seguridad para una vulnerabilidad ReDoS. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2023-36617.
Detalles
Un problema de denegación de servicio en expresiones regulares (ReDoS) fue descubierto en el componente URI de Ruby hasta la versión 0.12.1. El analizador sintáctico de URI no manejaba correctamente URLs inválidas con ciertos caracteres específicos. Se producía un aumento en el tiempo de ejecución al analizar cadenas para objetos URI con rfc2396_parser.rb y rfc3986_parser.rb.
NOTA: este problema se debió a una solución incompleta para CVE-2023-28755.
La gema uri
versión 0.12.1 y todas las versiones anteriores a la
0.12.1 son vulnerables.
Acción recomendada
Recomendamos actualizar la gema uri
a 0.12.2. Para asegurar
compatibilidad con la versión incluida en series de Ruby anteriores,
debe actualizar así:
- Para Ruby 3.0: Actualizar a
uri
0.10.3 - Para Ruby 3.1 y 3.2: Actualizar a
uri
0.12.2
Puede usar gem update uri
para actualizarla. Si está usando bundler,
por favor agregue gem "uri", ">= 0.12.2"
(o la otra versión de las recién
mencionada) a su Gemfile
.
Versiones afectadas
- gema uri 0.12.1 y anteriores
Creditos
Agradecemos a ooooooo_q por descubrir este problema.
Agradecemos a nobu por resolver este problema.
Historia
- Publicado originalmente el 2023-06-29 01:00:00 (UTC)