CVE-2023-28755: URI 中的 ReDoS 漏洞

由 hsbt 发布于 2023 年 3 月 28 日

我们发布了 uri gem 版本 0.12.1、0.11.1、0.10.2 和 0.10.0.1，其中包含针对 ReDoS 漏洞的安全修复。该漏洞已分配 CVE 标识符 CVE-2023-28755。

详情

在URI组件中发现了一个ReDoS问题。URI解析器错误地处理了包含特定字符的无效URL。这会导致将字符串解析为URI对象时执行时间增加。

uri gem版本0.12.0、0.11.0、0.10.1、0.10.0以及所有0.10.0之前的版本都易受此漏洞影响。

建议操作

我们建议将uri gem更新至0.12.1。为了确保与旧版Ruby系列中捆绑的版本的兼容性，您可以改为如下更新：

• 对于Ruby 2.7：更新至uri 0.10.0.1
• 对于Ruby 3.0：更新至uri 0.10.2
• 对于Ruby 3.1：更新至uri 0.11.1
• 对于Ruby 3.2：更新至uri 0.12.1

您可以使用gem update uri进行更新。如果您使用bundler，请将gem "uri", ">= 0.12.1"（或其他上述版本）添加到您的Gemfile中。

受影响的版本

• uri gem 0.12.0
• uri gem 0.11.0
• uri gem 0.10.1
• uri gem 0.10.0 或更早版本

致谢

感谢Dominic Couture发现此问题。

历史

• 最初发布于 2023-03-28 01:00:00 (UTC)
• 受影响版本更新于 2023-03-28 02:00:00 (UTC)
• CVE标识符URL更新于 2023-03-28 04:00:00 (UTC)