由 hsbt 发表于 2023-03-28
翻译: GAO Jun
我们刚发布了包含 ReDoS 漏洞补丁的 uri gem 版本 0.12.1,0.11.1,0.10.2 和 0.10.0.1。
此漏洞的 CVE 编号为 CVE-2023-28755。
详情
在 URI 组件中发现了一个 ReDoS 问题。URI 解析器会错误处理包含特殊字符的错误 URL。这会导致将字符串解析为 URI 的处理时间增长。
受此漏洞影响的 uri gem 版本包括:0.12.0,0.11.0,0.10.1,0.10.0 以及 0.10.0 之前的版本。
建议操作
我们建议将 uri gem 更新到 0.12.1。为了保证各个 Ruby 系列中绑定版本的兼容性您也可以按照下列方式进行更新:
- Ruby 2.7:更新
uri至 0.10.0.1 - Ruby 3.0:更新
uri至 0.10.2 - Ruby 3.1:更新
uri至 0.11.1 - Ruby 3.2:更新
uri至 0.12.1
您可以通过 gem update uri 进行更新。如果您使用 bundler,请在您的 Gemfile 中增加 gem "uri", ">= 0.12.1" (或上面提到的其他版本)。
受影响版本
urigem 0.12.0urigem 0.11.0urigem 0.10.1urigem 0.10.0 及之前版本
致谢
感谢 Dominic Couture 发现此问题。
历史
- 最初发布于 2023-03-28 01:00:00 (UTC)
- 受影响版本更新于 2023-03-28 02:00:00 (UTC)