由 usa 發表於 2017-09-14
翻譯: Vincent Lin
Ruby 內建的 JSON 含有堆積暴露的安全性風險,此風險的 CVE 識別號已被指派為 CVE-2017-14064。
詳情
JSON 模組的 generate 方法可選擇性地接受 JSON::Ext::Generator::State 類別的實體,如果傳遞了惡意的實體,結果可能會包含堆積的內容。
所有正在使用受影響版本的使用者應立即升級或是採用應急辦法。
受影響版本
- Ruby 2.2 系列: 2.2.7 以及之前的版本
- Ruby 2.3 系列: 2.3.4 以及之前的版本
- Ruby 2.4 系列: 2.4.1 以及之前的版本
- trunk revision 58323 之前的版本
應急辦法
JSON 同樣的也使用 gem 做發布,如果你無法升級 Ruby 本身,請安裝 2.0.4 版本之後的 JSON。
致謝
感謝 ahmadsherif 回報此問題。
歷史
- 初次發佈於 2017-09-14 12:00:00 (UTC)