Posté par mame le 2021-04-05
Traduit par Kevin Rosaz
Il y a une vulnérabilité XML round-trip dans la gemme REXML inclue dans Ruby. Cette vulnérabilité possède l’identifiant CVE CVE-2021-28965. Nous vous recommandons fortement de faire la mise à jour de la gemme REXML.
Détails
Lors de l’analyse et de la sérialisation d’un document XML spécialement conçu, la gemme REXML (y compris celle fournie avec Ruby) peut créer un mauvais document XML dont la structure est différente de l’original. L’impact de ce problème dépend fortement du contexte, mais il peut conduire à une vulnérabilité dans certains programmes qui utilisent REXML.
Veuillez mettre à jour la gemme REXML vers la version 3.2.5 ou supérieure.
Si vous utilisez Ruby 2.6 ou supérieure :
- Veuillez utiliser Ruby 2.6.7, 2.7.3, ou 3.0.1.
- Vous pouvez également utiliser
gem update rexml
pour la mettre à jour. Si vous utilisez bundler, veuillez ajoutergem "rexml", ">= 3.2.5"
à votreGemfile
Si vous utilisez Ruby 2.5.8 ou inférieure :
- Veuillez utiliser Ruby 2.5.9.
- Vous ne pouvez pas utiliser
gem update rexml
pour Ruby 2.5.8 ou inférieure. - Notez que la branche 2.5 de Ruby n’est plus officiellement supportée. Veuillez mettre à jour Ruby vers la version 2.6.7 ou supérieure dès que possible.
Versions concernées
- Ruby 2.5.8 ou inférieure (vous NE POUVEZ PAS utiliser
gem update rexml
pour ces versions.) - Ruby 2.6.7 ou inférieure
- Ruby 2.7.2 ou inférieure
- Ruby 3.0.1 ou inférieure
- REXML gem 3.2.4 ou inférieure
Remerciements
Merci à Juho Nurminen pour la découverte de ce problème.
Historique
- Paru initialement le 2021-04-05 12:00:00 (UTC)