CVE-2024-27280: Buffer-Overread-Schwachstelle in StringIO

Gepostet von hsbt am 21 Mär 2024

Wir haben die StringIO-Gem-Versionen 3.0.1.1 und 3.0.1.2 veröffentlicht, die eine Sicherheitskorrektur für eine Buffer-Overread-Schwachstelle enthalten. Diese Schwachstelle hat die CVE-ID CVE-2024-27280 erhalten.

Details

Eine Schwachstelle wurde in StringIO 3.0.1 entdeckt, wie sie in Ruby 3.0.x bis 3.0.6 und 3.1.x bis 3.1.4 verteilt wird.

Die Methoden ungetbyte und ungetc eines StringIO können über das Ende eines Strings hinauslesen, und ein nachfolgender Aufruf von StringIO.gets kann den Speicherwert zurückgeben.

Von dieser Schwachstelle sind StringIO 3.0.3 und neuere Versionen sowie Ruby 3.2.x und neuere Versionen nicht betroffen.

Empfohlene Maßnahmen

Wir empfehlen, die StringIO-Gem auf Version 3.0.3 oder höher zu aktualisieren. Um die Kompatibilität mit gebündelten Versionen in älteren Ruby-Reihen zu gewährleisten, können Sie stattdessen wie folgt aktualisieren:

• Für Ruby 3.0-Benutzer: Aktualisieren Sie auf stringio 3.0.1.1
• Für Ruby 3.1-Benutzer: Aktualisieren Sie auf stringio 3.0.1.2

Hinweis: StringIO 3.0.1.2 enthält nicht nur die Behebung für diese Schwachstelle, sondern auch einen Bugfix für [Bug #19389].

Sie können gem update stringio verwenden, um es zu aktualisieren. Wenn Sie Bundler verwenden, fügen Sie gem "stringio", ">= 3.0.1.2" zu Ihrer Gemfile hinzu.

Betroffene Versionen

• Ruby 3.0.6 oder niedriger
• Ruby 3.1.4 oder niedriger
• StringIO Gem 3.0.1 oder niedriger

Credits

Vielen Dank an david_h1 für die Entdeckung dieses Problems.

Verlauf

• Betroffene Version von StringIO (3.0.2 -> 3.0.1) am 2024-04-11 12:50:00 (UTC) behoben
• Ursprünglich veröffentlicht am 2024-03-21 4:00:00 (UTC)