CVE-2023-36617: vulnerabilidad de ReDoS en URI

Publicado por hsbt el 2023-06-29
Traducción de vtamara

Hemos publicado la gema uri versión 0.12.2 y 0.10.3 que incluyen solución a una falla de seguridad para una vulnerabilidad ReDoS. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2023-36617.

Detalles

Un problema de denegación de servicio en expresiones regulares (ReDoS) fue descubierto en el componente URI de Ruby hasta la versión 0.12.1. El analizador sintáctico de URI no manejaba correctamente URLs inválidas con ciertos caracteres específicos. Se producía un aumento en el tiempo de ejecución al analizar cadenas para objetos URI con rfc2396_parser.rb y rfc3986_parser.rb.

NOTA: este problema se debió a una solución incompleta para CVE-2023-28755.

La gema uri versión 0.12.1 y todas las versiones anteriores a la 0.12.1 son vulnerables.

Acción recomendada

Recomendamos actualizar la gema uri a 0.12.2. Para asegurar compatibilidad con la versión incluida en series de Ruby anteriores, debe actualizar así:

Para Ruby 3.0: Actualizar a uri 0.10.3
Para Ruby 3.1 y 3.2: Actualizar a uri 0.12.2

Puede usar gem update uri para actualizarla. Si está usando bundler, por favor agregue gem "uri", ">= 0.12.2" (o la otra versión de las recién mencionada) a su Gemfile.

Versiones afectadas

gema uri 0.12.1 y anteriores

Creditos

Agradecemos a ooooooo_q por descubrir este problema.

Agradecemos a nobu por resolver este problema.

Historia

Publicado originalmente el 2023-06-29 01:00:00 (UTC)

Ruby

El mejor amigo de un desarrollador