CVE-2023-28755:URI 中的 ReDoS 漏洞

我们已发布 uri gem 版本 0.12.1、0.11.1、0.10.2 和 0.10.0.1,其中包含针对 ReDoS 漏洞的安全修复。此漏洞已分配 CVE 标识符 CVE-2023-28755

详情

在 URI 组件中发现了一个 ReDoS 问题。 URI 解析器错误处理具有特定字符的无效 URL。 这会导致将字符串解析为 URI 对象时执行时间增加。

uri gem 版本 0.12.0、0.11.0、0.10.1、0.10.0 以及所有早于 0.10.0 的版本都容易受到此漏洞的影响。

建议措施

我们建议将 uri gem 更新到 0.12.1。为了确保与旧 Ruby 系列中捆绑的版本兼容,您可以按如下方式更新:

  • 对于 Ruby 2.7:更新到 uri 0.10.0.1
  • 对于 Ruby 3.0:更新到 uri 0.10.2
  • 对于 Ruby 3.1:更新到 uri 0.11.1
  • 对于 Ruby 3.2:更新到 uri 0.12.1

您可以使用 gem update uri 来更新它。如果您正在使用 bundler,请将 gem "uri", ">= 0.12.1"(或上面提到的其他版本)添加到您的 Gemfile

受影响的版本

  • uri gem 0.12.0
  • uri gem 0.11.0
  • uri gem 0.10.1
  • uri gem 0.10.0 或更早版本

致谢

感谢 Dominic Couture 发现了这个问题。

历史记录

  • 最初发布于 2023-03-28 01:00:00 (UTC)
  • 在 2023-03-28 02:00:00 (UTC) 更新了受影响的版本
  • 在 2023-03-28 04:00:00 (UTC) 更新了 CVE 标识符 URL