CVE-2020-10663: Unsichere Objekterstellung Schwachstelle in JSON (Zusätzliche Korrektur)

Gepostet von mame am 19. Mär 2020

Es gibt eine unsichere Objekterstellungsschwachstelle im json-Gem, das mit Ruby gebündelt ist. Diese Schwachstelle wurde unter der CVE-ID CVE-2020-10663 registriert. Wir empfehlen dringend, das json-Gem zu aktualisieren.

Details

Beim Parsen bestimmter JSON-Dokumente kann das json-Gem (einschließlich des in Ruby enthaltenen) dazu verleitet werden, beliebige Objekte im Zielsystem zu erstellen.

Dies ist dasselbe Problem wie bei CVE-2013-0269. Der vorherige Fix war unvollständig und behob JSON.parse(user_input), aber nicht einige andere Stile des JSON-Parsings, einschließlich JSON(user_input) und JSON.parse(user_input, nil).

Siehe CVE-2013-0269 im Detail. Beachten Sie, dass das Problem ausnutzbar war, um einen Denial of Service zu verursachen, indem viele nicht von der Garbage Collection gesammelte Symbolobjekte erstellt wurden, aber diese Art von Angriff ist nicht mehr gültig, da Symbolobjekte jetzt von der Garbage Collection gesammelt werden. Das Erstellen beliebiger Objekte kann jedoch je nach Anwendungscode schwerwiegende Sicherheitsfolgen haben.

Bitte aktualisieren Sie das json-Gem auf Version 2.3.0 oder höher. Sie können gem update json verwenden, um es zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "json", ">= 2.3.0" zu Ihrer Gemfile hinzu.

Betroffene Versionen

• JSON-Gem 2.2.0 oder älter

Credits

Vielen Dank an Jeremy Evans für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2020-03-19 13:00:00 (UTC)