Skip to content

Commit

Permalink
Translate "CVE-2023-36617: ReDoS vulnerability in URI" (zh_cn)
Browse files Browse the repository at this point in the history
  • Loading branch information
@Gao-Jun @hsbt
Gao-Jun authored and hsbt committed Aug 28, 2023
1 parent fb73638 commit 8f53e1d
Showing 1 changed file with 44 additions and 0 deletions.
44 changes: 44 additions & 0 deletions zh_cn/news/_posts/2023-06-29-redos-in-uri-CVE-2023-36617.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,44 @@
---
layout: news_post
title: "CVE-2023-36617: URI 包中的 ReDoS 漏洞"
author: "hsbt"
translator: "GAO Jun"
date: 2023-06-29 01:00:00 +0000
tags: security
lang: zh_cn
---

我们刚发布了包含 ReDoS 漏洞补丁的 `uri` gem 版本 0.12.2 和 0.10.3。
此漏洞的 CVE 编号为 [CVE-2023-36617](https://www.cve.org/CVERecord?id=CVE-2023-36617)

## 详情

在 URI 组件 0.12.1 中发现了一个 ReDoS 问题。URI 解析器会错误处理包含特殊字符的错误 URL。
导致通过 rf2396_parser.rb 和 rfc3986_parser.rb 将字符串解析为 URI 对象的处理时间增长。

注意:此问题是由于 [CVE-2023-28755](https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/) 的不完整修复而导致的。

受此漏洞影响的 `uri` gem 版本包括:0.12.1 以及 0.12.1 之前的版本。

## 建议操作

我们建议将 `uri` gem 更新到 0.12.1。为了保证各个 Ruby 系列中绑定版本的兼容性您也可以按照下列方式进行更新:

* Ruby 3.0:更新 `uri` 至 0.10.3
* Ruby 3.1 和 3.2:更新 `uri` 至 0.12.2

您可以通过 `gem update uri` 进行更新。如果您使用 bundler,请在您的 `Gemfile` 中增加 `gem "uri", ">= 0.12.2"` (或上面提到的其他版本)。

## 受影响版本

* uri gem 0.12.1 及之前版本

## 致谢

感谢 [ooooooo_q](https://hackerone.com/ooooooo_q) 发现此问题。

感谢 [nobu](https://github.com/nobu) 修复此问题。

## 历史

* 最初发布于 2023-06-29 01:00:00 (UTC)

0 comments on commit 8f53e1d

Please sign in to comment.