CVE-2023-28755: URI における ReDoS 脆弱性について

Posted by hsbt on 28 Mar 2023
Translated by ytjmt

ReDoS 脆弱性のセキュリティ修正を含む、uri gem 0.12.1、0.11.1、0.10.2、0.10.0.1 をリリースしました。 この脆弱性は、CVE-2023-28755 として登録されています。

詳細

URI コンポーネントに ReDos 脆弱性が見つかりました。特定の文字を含む無効な URL を URI パーサーが誤って取り扱っていました。これにより、文字列を URI オブジェクトにパースする際の実行時間の増加を引き起こしていました。

0.12.0、0.11.0、0.10.1、0.10.0 および 0.10.0 以前の全てのバージョンの uri gem はこの脆弱性の影響を受けます。

推奨する対応

uri gem を 0.12.1 にアップデートすることを推奨します。古い系列の Ruby で同梱されているバージョンとの互換性を確保するためには、以下のようにアップデートできます:

  • Ruby 2.7: uri を 0.10.0.1 にアップデート
  • Ruby 3.0: uri を 0.10.2 にアップデート
  • Ruby 3.1: uri を 0.11.1 にアップデート
  • Ruby 3.2: uri を 0.12.1 にアップデート

gem update uri でアップデートできます。もし bundler を使っている場合は、Gemfilegem "uri", ">= 0.12.1" (または上記の他のバージョン)を追加してください。

影響を受けるバージョン

  • uri gem 0.12.0
  • uri gem 0.11.0
  • uri gem 0.10.1
  • uri gem 0.10.0 およびそれ以前のバージョン

クレジット

この脆弱性情報は、Dominic Couture 氏によって報告されました。

更新履歴

  • 2023-03-28 10:00:00 (JST) 初版
  • 2023-03-28 11:00:00 (JST) 影響を受けるバージョンについて修正