CVE-2023-36617:URI 中的 ReDoS 漏洞

我们已发布 uri gem 版本 0.12.2 和 0.10.3,其中包含针对 ReDoS 漏洞的安全修复。此漏洞已分配 CVE 标识符 CVE-2023-36617

详细信息

在 Ruby 的 URI 组件中发现了一个 ReDoS 问题,影响版本直至 0.12.1。URI 解析器错误地处理了包含特定字符的无效 URL。使用 rfc2396_parser.rb 和 rfc3986_parser.rb 将字符串解析为 URI 对象时,执行时间会增加。

注意:此问题是由于对 CVE-2023-28755 的修复不完整造成的。

uri gem 版本 0.12.1 以及所有 0.12.1 之前的版本都受此漏洞影响。

建议措施

我们建议将 uri gem 更新到 0.12.2。为了确保与旧 Ruby 系列中捆绑的版本兼容,您可以按如下方式更新:

  • 对于 Ruby 3.0:更新到 uri 0.10.3
  • 对于 Ruby 3.1:更新到 uri 0.12.2
  • 对于 Ruby 3.2:更新到 uri 0.12.2,或更新到 Ruby 3.2.3

您可以使用 gem update uri 来更新它。如果您正在使用 bundler,请将 gem "uri", ">= 0.12.2" (或上面提到的其他版本) 添加到您的 Gemfile

受影响的版本

  • uri gem 0.12.1 或更早版本

鸣谢

感谢 ooooooo_q 发现了这个问题。

感谢 nobu 修复了这个问题。

历史

  • 在 2024-01-18 12:00:00 (UTC) 为 Ruby 3.2 添加了新的建议措施
  • 最初发布于 2023-06-29 01:00:00 (UTC)