发布者:hsbt,于 2023 年 6 月 29 日
我们已发布 uri gem 版本 0.12.2 和 0.10.3,其中包含针对 ReDoS 漏洞的安全修复。此漏洞已分配 CVE 标识符 CVE-2023-36617。
详细信息
在 Ruby 的 URI 组件中发现了一个 ReDoS 问题,影响版本直至 0.12.1。URI 解析器错误地处理了包含特定字符的无效 URL。使用 rfc2396_parser.rb 和 rfc3986_parser.rb 将字符串解析为 URI 对象时,执行时间会增加。
注意:此问题是由于对 CVE-2023-28755 的修复不完整造成的。
uri
gem 版本 0.12.1 以及所有 0.12.1 之前的版本都受此漏洞影响。
建议措施
我们建议将 uri
gem 更新到 0.12.2。为了确保与旧 Ruby 系列中捆绑的版本兼容,您可以按如下方式更新:
- 对于 Ruby 3.0:更新到
uri
0.10.3 - 对于 Ruby 3.1:更新到
uri
0.12.2 - 对于 Ruby 3.2:更新到
uri
0.12.2,或更新到 Ruby 3.2.3
您可以使用 gem update uri
来更新它。如果您正在使用 bundler,请将 gem "uri", ">= 0.12.2"
(或上面提到的其他版本) 添加到您的 Gemfile
。
受影响的版本
- uri gem 0.12.1 或更早版本
鸣谢
感谢 ooooooo_q 发现了这个问题。
感谢 nobu 修复了这个问题。
历史
- 在 2024-01-18 12:00:00 (UTC) 为 Ruby 3.2 添加了新的建议措施
- 最初发布于 2023-06-29 01:00:00 (UTC)