YAML 解析 URI 存在 Heap 溢出風險(CVE-2014-2525)

Ruby 解析 URI 時存在溢出風險。此風險的 CVE 識別號為 CVE-2014-2525

細節

每當在 YAML 解析含有標籤的字串時,刻意捏造的字串可導致 heap 溢出,進而可執行任何程式碼。

舉例來說:

YAML.load <code_from_unknown_source>

受影響版本

自 Ruby 1.9.3-p0 起,採用 psych 作為預設 YAML 解析器的 Ruby。任一版採用 libyaml <= 0.1.5 的 psych 皆受影響。

以下版本的 Ruby 綁定了受影響的 libyaml:

  • Ruby 2.0.0-p451 以及先前的版本(2.0.0-p481 不受影響)。
  • Ruby 2.1.0 與 Ruby 2.1.1。

透過執行下面的程式碼可以檢查您的 libyaml 版本:

$ ruby -rpsych -e 'p Psych.libyaml_version'
[0, 1, 5]

解決辦法

將 libyaml 安裝至系統的使用者,建議升級 libyaml 至 0.1.6。重新編譯 Ruby 時,請指定最新的 libyaml:

$ ./configure --with-yaml-dir=/path/to/libyaml

使用者系統沒有 libyaml,而依賴 psych 內嵌的 libyaml,推薦升級 psych 至 2.0.5,此版 psych 使用的是 libyaml 0.1.6

或是升級 Ruby 至 2.0.0-p481、2.1.2 或更新版。

編輯記錄

  • 初次發佈 2014-03-29 01:49:25 UTC
  • 第一次修訂 2014-03-29 09:37:00 UTC
  • 第二次修訂 2014-05-09 03:00:00 UTC