CVE-2023-36617: ReDoS-Schwachstelle in URI

Gepostet von hsbt am 29. Jun 2023

Wir haben die gem uri Version 0.12.2, 0.10.3 veröffentlicht, die eine Sicherheitskorrektur für eine ReDoS-Schwachstelle enthält. Dieser Schwachstelle wurde die CVE-ID CVE-2023-36617 zugewiesen.

Details

Eine ReDoS-Schwachstelle wurde in der URI-Komponente bis Version 0.12.1 für Ruby entdeckt. Der URI-Parser behandelt ungültige URLs mit bestimmten Zeichen fehlerhaft. Es gibt eine erhöhte Ausführungszeit beim Parsen von Zeichenketten zu URI-Objekten mit rfc2396_parser.rb und rfc3986_parser.rb.

HINWEIS: Dieses Problem besteht aufgrund einer unvollständigen Behebung von CVE-2023-28755.

Die uri-Gem-Version 0.12.1 und alle älteren Versionen als 0.12.1 sind für diese Schwachstelle anfällig.

Empfohlene Maßnahmen

Wir empfehlen, die uri-Gem auf 0.12.2 zu aktualisieren. Um die Kompatibilität mit gebündelten Versionen in älteren Ruby-Reihen zu gewährleisten, können Sie stattdessen wie folgt aktualisieren:

• Für Ruby 3.0: Aktualisieren auf uri 0.10.3
• Für Ruby 3.1: Aktualisieren auf uri 0.12.2
• Für Ruby 3.2: Aktualisieren auf uri 0.12.2 oder aktualisieren auf Ruby 3.2.3

Sie können gem update uri verwenden, um sie zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie bitte gem "uri", ">= 0.12.2" (oder eine andere oben genannte Version) zu Ihrer Gemfile hinzu.

Betroffene Versionen

• uri gem 0.12.1 oder früher

Credits

Vielen Dank an ooooooo_q für die Entdeckung dieses Problems.

Vielen Dank an nobu für die Behebung dieses Problems.

Verlauf

• Eine neue empfohlene Maßnahme für Ruby 3.2 wurde am 18.01.2024, 12:00:00 (UTC) hinzugefügt.
• Ursprünglich veröffentlicht am 29.06.2023, 01:00:00 (UTC)