CVE-2023-28755: ReDoS-Schwachstelle in URI

Gepostet von hsbt am 28. März 2023

Wir haben die uri-Gem-Versionen 0.12.1, 0.11.1, 0.10.2 und 0.10.0.1 veröffentlicht, die eine Sicherheitskorrektur für eine ReDoS-Schwachstelle enthalten. Dieser Schwachstelle wurde die CVE-Kennung CVE-2023-28755 zugewiesen.

Details

Im URI-Komponenten wurde ein ReDoS-Problem entdeckt. Der URI-Parser behandelt ungültige URLs mit bestimmten Zeichen nicht korrekt. Dies führt zu einer Erhöhung der Ausführungszeit beim Parsen von Strings zu URI-Objekten.

Die uri Gem-Versionen 0.12.0, 0.11.0, 0.10.1, 0.10.0 und alle Versionen vor 0.10.0 sind für diese Schwachstelle anfällig.

Empfohlene Maßnahmen

Wir empfehlen, die uri Gem auf 0.12.1 zu aktualisieren. Um die Kompatibilität mit der gebündelten Version in älteren Ruby-Serien zu gewährleisten, können Sie stattdessen wie folgt aktualisieren:

• Für Ruby 2.7: Aktualisieren Sie auf uri 0.10.0.1
• Für Ruby 3.0: Aktualisieren Sie auf uri 0.10.2
• Für Ruby 3.1: Aktualisieren Sie auf uri 0.11.1
• Für Ruby 3.2: Aktualisieren Sie auf uri 0.12.1

Sie können gem update uri verwenden, um sie zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "uri", ">= 0.12.1" (oder eine andere oben genannte Version) zu Ihrer Gemfile hinzu.

Betroffene Versionen

• uri gem 0.12.0
• uri gem 0.11.0
• uri gem 0.10.1
• uri gem 0.10.0 oder früher

Credits

Vielen Dank an Dominic Couture für die Entdeckung dieses Problems.

Verlauf

• Ursprünglich veröffentlicht am 2023-03-28 01:00:00 (UTC)
• Betroffene Versionen aktualisiert am 2023-03-28 02:00:00 (UTC)
• URL der CVE-Kennung aktualisiert am 2023-03-28 04:00:00 (UTC)