由 hsbt 发表于 2023-06-29
翻译: GAO Jun
我们刚发布了包含 ReDoS 漏洞补丁的 uri gem 版本 0.12.2 和 0.10.3。
此漏洞的 CVE 编号为 CVE-2023-36617。
详情
在 URI 组件 0.12.1 中发现了一个 ReDoS 问题。URI 解析器会错误处理包含特殊字符的错误 URL。 导致通过 rf2396_parser.rb 和 rfc3986_parser.rb 将字符串解析为 URI 对象的处理时间增长。
注意:此问题是由于 CVE-2023-28755 的不完整修复而导致的。
受此漏洞影响的 uri gem 版本包括:0.12.1 以及 0.12.1 之前的版本。
建议操作
我们建议将 uri gem 更新到 0.12.1。为了保证各个 Ruby 系列中绑定版本的兼容性您也可以按照下列方式进行更新:
- Ruby 3.0:更新
uri至 0.10.3 - Ruby 3.1 和 3.2:更新
uri至 0.12.2
您可以通过 gem update uri 进行更新。如果您使用 bundler,请在您的 Gemfile 中增加 gem "uri", ">= 0.12.2" (或上面提到的其他版本)。
受影响版本
- uri gem 0.12.1 及之前版本
致谢
感谢 ooooooo_q 发现此问题。
感谢 nobu 修复此问题。
历史
- 最初发布于 2023-06-29 01:00:00 (UTC)