CVE-2017-14064: Kerentanan tereksposnya heap saat menghasilkan JSON

Ditulis oleh usa tanggal 2017-09-14
Diterjemahkan oleh meisyal

Ada sebuah kerentanan tereksposnya heap pada JSON yang di-bundle oleh Ruby. Kerentanan ini telah ditetapkan sebagai CVE-2017-14064.

Detail

Method generate dari modul JSON opsional menerima sebuah objek dari kelas JSON::Ext::Generator::State. Jika sebuah objek yang berbahaya dilewati, hasilnya mungkin mengandung isi dari heap.

Semua pengguna yang sedang menggunakan rilis yang terkena imbas ini sebaiknya segera memperbarui atau menggunakan solusi yang ada.

Versi Terimbas

rangkaian Ruby 2.2: 2.2.7 dan sebelumnya
rangkaian Ruby 2.3: 2.3.4 dan sebelumnya
rangkaian Ruby 2.4: 2.4.1 dan sebelumnya
sebelum revisi trunk 58323

Solusi

Pustaka JSON juga didistribusikan dalam sebuah gem. Jika Anda tidak dapat memperbarui Ruby itu sendiri, pasang gem JSON lebih baru dari versi 2.0.4.

Rujukan

Terima kasih kepada ahmadsherif yang telah melaporkan masalah ini.

Riwayat

Semula dipublikasikan pada 2017-09-14 12:00:00 (UTC)

Ruby

Sahabat Terbaik Programmer