CVE-2021-28965: REXML 中的 XML 往返漏洞
由 mame 发布于 2021年4月5日
Ruby 自带的 REXML gem 中存在一个 XML 往返漏洞。该漏洞已分配 CVE 标识符 CVE-2021-28965。我们强烈建议升级 REXML gem。
详情
在解析和序列化一个精心构造的 XML 文档时,REXML gem(包括 Ruby 自带的)会创建一个错误的 XML 文档,其结构与原始文档不同。此问题的潜在影响高度依赖于上下文,但它可能导致使用 REXML 的某些程序中出现漏洞。
请将 REXML gem 更新到 3.2.5 或更高版本。
如果您正在使用 Ruby 2.6 或更高版本
- 请使用 Ruby 2.6.7、2.7.3 或 3.0.1。
- 或者,您可以使用
gem update rexml来更新它。如果您使用 bundler,请将gem "rexml", ">= 3.2.5"添加到您的Gemfile中。
如果您正在使用 Ruby 2.5.8 或更早版本
- 请使用 Ruby 2.5.9。
- 您无法在 Ruby 2.5.8 或更早版本上使用
gem update rexml。 - 请注意,Ruby 2.5 系列已EOL(生命周期结束),因此请尽快考虑将 Ruby 升级到 2.6.7 或更高版本。
受影响的版本
- Ruby 2.5.8 或更早版本(您**不能**为此版本使用
gem update rexml。) - Ruby 2.6.6 或更早版本
- Ruby 2.7.2 或更早版本
- Ruby 3.0.0
- REXML gem 3.2.4 或更早版本
致谢
感谢 Juho Nurminen 发现此问题。
历史
- 首次发布于 2021-04-05 12:00:00 (UTC)
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日