CVE-2021-41816: Dépassement de la mémoire tampon dans CGI.escape_html

Une vulnérabilité de dépassement de mémoire tampon a été découverte dans CGI.escape_html. Cette vulnérabilité a reçu l’identifiant CVE CVE-2021-41816. Nous vous recommandons fortement de mettre à jour Ruby.

Détails

Cette vulnérabilité de sécurité provoque un débordement de la mémoire tampon lorsque vous transmettez une très grande chaîne de caractères (> 700 Mo) à CGI.escape_html sur une plate-forme où le type long prend 4 octets, généralement Windows.

Veuillez mettre à jour la gemme cgi vers la version 0.3.1, 0.2.1, 0.1.1 ou ultérieure. Vous pouvez utiliser gem update cgi pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter gem "cgi", ">= 0.3.1" à votre Gemfile. Vous pouvez également mettre à jour Ruby vers la version 2.7.5 ou 3.0.3.

Ce problème a été introduit depuis Ruby 2.7, donc la version cgi fournie avec Ruby 2.6 n’est pas vulnérable.

Versions concernées

  • Gemme cgi 0.1.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
  • Gemme cgi 0.2.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
  • Gemme cgi 0.3.0 ou antérieure

Remerciements

Merci à chamal pour la découverte de ce problème.

Historique

  • Paru initialement le 2021-11-24 12:00:00 (UTC)