CVE-2023-28756: ReDoS-Schwachstelle in Time

Gepostet von hsbt am 30. Mär 2023

Wir haben die gem time Version 0.1.1 und 0.2.2 veröffentlicht, die eine Sicherheitskorrektur für eine ReDoS-Schwachstelle enthält. Dieser Schwachstelle wurde die CVE-ID CVE-2023-28756 zugewiesen.

Details

Der Time-Parser verarbeitet ungültige Zeichenketten mit bestimmten Zeichen nicht korrekt. Dies führt zu einer Erhöhung der Ausführungszeit beim Parsen von Zeichenketten in Time-Objekte.

Eine ReDoS-Schwachstelle wurde in der Time-Gem-Version 0.1.0 und 0.2.1 sowie in der Time-Bibliothek von Ruby 2.7.7 entdeckt.

Empfohlene Maßnahmen

Wir empfehlen, die Time-Gem auf Version 0.2.2 oder höher zu aktualisieren. Um die Kompatibilität mit der gebündelten Version in älteren Ruby-Serien zu gewährleisten, können Sie stattdessen wie folgt aktualisieren:

• Für Ruby 3.0-Benutzer: Aktualisieren Sie auf time 0.1.1
• Für Ruby 3.1/3.2-Benutzer: Aktualisieren Sie auf time 0.2.2

Sie können gem update time verwenden, um sie zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "time", ">= 0.2.2" zu Ihrer Gemfile hinzu.

Leider funktioniert die Time-Gem nur mit Ruby 3.0 oder höher. Wenn Sie Ruby 2.7 verwenden, aktualisieren Sie bitte auf die neueste Version von Ruby.

Betroffene Versionen

• Ruby 2.7.7 oder niedriger
• time Gem 0.1.0
• time Gem 0.2.1

Credits

Vielen Dank an ooooooo_q für die Entdeckung dieser Schwachstelle.

Verlauf

• Ursprünglich veröffentlicht am 2023-03-30 11:00:00 (UTC)