Ditulis oleh mame tanggal 2021-11-24
Diterjemahkan oleh meisyal
Sebuah kerentanan buffer overrun telah ditemukan pada CGI.escape_html. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2021-41816. Kami sangat merekomendasikan Anda untuk memperbarui Ruby.
Detail
Sebuah kerentanan keamanan menyebabkan buffer overflow ketika Anda
mengirimkan sebuah string yang sangat besar (> 700 MB) ke CGI.escape.html
pada sebuah platform yang mana tipe long menerima 4 bytes, biasanya,
Windows.
Mohon perbarui cgi gem ke versi 0.3.1, 0.2.1, dan 0.1.1 atau setelahnya.
Anda dapat menggunakan gem update cgi untuk memperbarui. Jika Anda menggunakan
bundler, mohon tambahkan gem "cgi", ">= 0.3.1" pada Gemfile. Alternatif
lain, perbarui Ruby ke 2.7.5 atau 3.0.3.
Kerentanan ini muncul sejak Ruby 2.7, sehingga versi cgi yang di-bundle dengan Ruby 2.6 tidak rentan.
Versi terimbas
- cgi gem 0.1.0 atau sebelumnya (yang di-bundle dengan rangkaian Ruby 2.7 sebelum Ruby 2.7.5)
- cgi gem 0.2.0 atau sebelumnya (yang di-bundle dengan rangkaian Ruby 3.0 sebelum Ruby 3.0.3)
- cgi gem 0.3.0 atau sebelumnya
Rujukan
Terima kasih kepada chamal yang telah menemukan kerentanan ini.
Riwayat
- Semula dipublikasikan pada 2021-11-24 12:00:00 (UTC)