Ditulis oleh mame tanggal 2020-03-19
Diterjemahkan oleh meisyal
Ada sebuah kerentanan penciptaan unsafe object pada gem json yang di-bundle dengan Ruby. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2020-10663. Kami sangat menganjurkan untuk memperbarui gem json.
Detail
Ketika mem-parsing suatu dokumen JSON, gem json (termasuk yang di-bundle dengan Ruby) dapat disalahgunakan untuk membuat objek tertentu pada sistem yang dituju.
Masalah ini sama dengan CVE-2013-0269.
Perbaikan sebelumnya belum selesai, yang membahas JSON.parse(user_input),
tetapi tidak membahas beberapa gaya JSON parsing lainnya, seperti
JSON(user_input) dan JSON.parse(user_input, nil).
Lihat CVE-2013-0269 untuk detail. Catat bahwa masalah ini bisa dieksploitasi yang menyebabkan Denial of Service dengan membuat banyak objek garbage-uncollectable Symbol, tetapi penyerangan semacam ini tidak lagi valid karena objek Symbol sekarang garbage-collectable. Namun demikian, pembuatan objek tertentu bisa menyebabkan masalah keamanan tergantung pada kode aplikasi.
Mohon perbarui gem json ke versi 2.3.0 atau setelahnya. Anda dapat menggunakan
gem update json untuk memperbarui. Jika Anda menggunakan bundler, mohon
tambahkan gem "json", ">= 2.3.0" pada Gemfile Anda.
Versi terimbas
- gem JSON 2.2.0 atau sebelumnya
Rujukan
Terima kasih kepada Jeremy Evans yang telah menemukan masalah ini.
Riwayat
- Semula dipublikasikan pada 2020-03-19 13:00:00 (UTC)