CVE-2020-10663: JSON'da Güvensiz Nesne Oluşturma Zaafiyeti (Ek düzeltme)

Ruby ile paketlenmiş olan json gem’inde bir güvensiz nesne oluşturma zaafiyeti bulunmaktadır. Bu zaafiyet şu CVE belirtecine atanmıştır: CVE-2020-10663. json gem’ini güncellemenizi şiddetle tavsiye ediyoruz.

Ayrıntılar

Belirli JSON belgelerini işlerken, json gem’i (Ruby ile paketlenmiş olan da dahil) hedef sistemde rasgele nesneler oluşturmak için zorlanabilir.

Bu, şununla aynı meseledir: CVE-2013-0269. JSON.parse(user_input)‘u hedefleyen fakat JSON(user_input) ve JSON.parse(user_input, nil) gibi JSON’ı işlemenin diğer tarzlarını hedeflemeyen önceki düzeltme eksikti.

Ayrıntılar için CVE-2013-0269‘a bakın. Birçok çöp olarak toplanamaz Symbol nesnesi oluşturarak, bu mesele bir Hizmet Reddi’ne neden olacak şekilde sömürülebilirdi. Fakat böylesi bir saldırı artık mümkün değil, çünkü Symbol nesneleri şimdi çöp olarak toplanabilir. Fakat rasgele nesneler oluşturmak uygulama koduna bağlı olarak birçok güvenlik sorununa neden olabilir.

Lütfen json gem’ini sürüm 2.3.0 ya da üstüne güncelleyin. Bunun için gem update json komutunu kullanabilirsiniz. Eğer bundler kullanıyorsanız, lütfen Gemfile‘ınıza gem "json", ">= 2.3.0" satırını ekleyin.

Etkilenen sürümler

  • JSON gem’i 2.2.0 ya da öncesi

Teşekkürler

Bu sorunu keşfettiği için Jeremy Evans’a teşekkür ederiz.

Geçmiş

  • İlk olarak UTC zaman diliminde 19.03.2020 tarihinde saat 13:00:00’te yayınlanmıştır.