CVE-2023-36617: URI 中的 ReDoS 漏洞

由 hsbt 发布于 2023 年 6 月 29 日

我们发布了 uri gem 版本 0.12.2 和 0.10.3，其中包含针对 ReDoS 漏洞的安全修复。该漏洞已分配 CVE 标识符 CVE-2023-36617。

详情

在 Ruby 的 URI 组件（0.12.1 及之前版本）中发现了一个 ReDoS（正则表达式拒绝服务）漏洞。URI 解析器错误地处理了包含特定字符的无效 URL。在通过 rfc2396_parser.rb 和 rfc3986_parser.rb 将字符串解析为 URI 对象时，执行时间会增加。

注意：此问题是由于对 CVE-2023-28755 的修复不完整导致的。

uri gem 0.12.1 及之前版本均受此漏洞影响。

建议操作

我们建议将 uri gem 更新到 0.12.2 版本。为了确保与旧版 Ruby 系列中的打包版本兼容，您可以改为进行如下更新：

• 对于 Ruby 3.0：更新到 uri 0.10.3
• 对于 Ruby 3.1：更新到 uri 0.12.2
• 对于 Ruby 3.2：更新到 uri 0.12.2，或更新到 Ruby 3.2.3

您可以使用 gem update uri 来更新。如果您使用的是 bundler，请将 gem "uri", ">= 0.12.2"（或上面提到的其他版本）添加到您的 Gemfile 中。

受影响的版本

• uri gem 0.12.1 或更早版本

致谢

感谢 ooooooo_q 发现此问题。

感谢 nobu 修复此问题。

历史

• 于 2024-01-18 12:00:00 (UTC) 添加了针对 Ruby 3.2 的新建议操作。
• 首次发布于 2023-06-29 01:00:00 (UTC)