CVE-2017-14064:生成 JSON 时出现堆暴露漏洞

Ruby 捆绑的 JSON 中存在堆暴露漏洞。此漏洞已被分配 CVE 标识符 CVE-2017-14064

详情

JSON 模块的 generate 方法可以选择接受 JSON::Ext::Generator::State 类的实例。如果传递恶意实例,结果可能包含堆的内容。

所有运行受影响版本的用户应立即升级或使用一种解决方法。

受影响版本

  • Ruby 2.2 系列:2.2.7 及更早版本
  • Ruby 2.3 系列:2.3.4 及更早版本
  • Ruby 2.4 系列:2.4.1 及更早版本
  • trunk 修订版 58323 之前

解决方法

JSON 库也以 gem 的形式分发。如果您无法升级 Ruby 本身,请安装版本高于 2.0.4 的 JSON gem。

鸣谢

感谢 ahmadsherif 报告此问题。

历史

  • 最初发布于 2017-09-14 12:00:00 (UTC)