由 hsbt 发布于 2023 年 3 月 28 日
我们已发布 uri gem 版本 0.12.1、0.11.1、0.10.2 和 0.10.0.1,其中包含针对 ReDoS 漏洞的安全修复。此漏洞已分配 CVE 标识符 CVE-2023-28755。
详情
在 URI 组件中发现了一个 ReDoS 问题。 URI 解析器错误处理具有特定字符的无效 URL。 这会导致将字符串解析为 URI 对象时执行时间增加。
uri
gem 版本 0.12.0、0.11.0、0.10.1、0.10.0 以及所有早于 0.10.0 的版本都容易受到此漏洞的影响。
建议措施
我们建议将 uri
gem 更新到 0.12.1。为了确保与旧 Ruby 系列中捆绑的版本兼容,您可以按如下方式更新:
- 对于 Ruby 2.7:更新到
uri
0.10.0.1 - 对于 Ruby 3.0:更新到
uri
0.10.2 - 对于 Ruby 3.1:更新到
uri
0.11.1 - 对于 Ruby 3.2:更新到
uri
0.12.1
您可以使用 gem update uri
来更新它。如果您正在使用 bundler,请将 gem "uri", ">= 0.12.1"
(或上面提到的其他版本)添加到您的 Gemfile
。
受影响的版本
- uri gem 0.12.0
- uri gem 0.11.0
- uri gem 0.10.1
- uri gem 0.10.0 或更早版本
致谢
感谢 Dominic Couture 发现了这个问题。
历史记录
- 最初发布于 2023-03-28 01:00:00 (UTC)
- 在 2023-03-28 02:00:00 (UTC) 更新了受影响的版本
- 在 2023-03-28 04:00:00 (UTC) 更新了 CVE 标识符 URL