CVE-2017-14064: Heap-Expositions-Schwachstelle bei der JSON-Generierung

Gepostet von usa am 14. Sep 2017

Es gibt eine Heap-Exposure-Schwachstelle in JSON, das von Ruby gebündelt wird. Dieser Schwachstelle wurde die CVE-Kennung CVE-2017-14064 zugewiesen.

Details

Die generate-Methode des JSON-Moduls akzeptiert optional eine Instanz der Klasse JSON::Ext::Generator::State. Wenn eine bösartige Instanz übergeben wird, kann das Ergebnis Inhalte aus dem Heap enthalten.

Alle Benutzer, die eine betroffene Version ausführen, sollten entweder ein Upgrade durchführen oder umgehend eine der Problemumgehungen verwenden.

Betroffene Versionen

• Ruby 2.2-Serie: 2.2.7 und früher
• Ruby 2.3-Serie: 2.3.4 und früher
• Ruby 2.4-Serie: 2.4.1 und früher
• vor Trunk-Revision 58323

Workaround

Die JSON-Bibliothek wird auch als Gem vertrieben. Wenn Sie Ruby selbst nicht aktualisieren können, installieren Sie die JSON-Gem-Version neuer als 2.0.4.

Danksagung

Dank an ahmadsherif für die Meldung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2017-09-14 12:00:00 (UTC)