Ruby 緩沖區(qū)溢出漏洞

 漏洞資訊     |      2021-12-02

一、   漏洞描述

攻擊者可通過將超過 700MB 的字符串傳遞給 CGI.escape_html,會導(dǎo)致某些 long 類型占用4個字節(jié)的平臺(例如 Windows )出現(xiàn)緩沖區(qū)溢出。

二、   漏洞詳情

CVE-2021-41816   : Ruby 緩沖區(qū)溢出漏洞

CVE: CVE-2021-41816  

組件:  Ruby

漏洞類型: 代碼問題

影響: 可導(dǎo)致緩存區(qū)溢出

簡述: 見漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Ruby

cgi gem < 0.1.1

cgi gem < 0.2.1

cgi gem < 0.3.1

Ruby >= v2.7

Ruby < v2.7.5

Ruby >= v3.0

Ruby < v3.0.3

大于受影響版本

四、   安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布補(bǔ)丁,用戶請盡快升級

https://www.ruby-lang.org/en/news/2021/11/24/buffer-overrun-in-cgi-escape_html-cve-2021-41816/