Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Noticias do ...
Tela cheia Sugerir um artigo

CVE-2017-14064: Vulnerabilidade de exposição de heap no JSON gerado

14 de Setembro de 2017, 12:00 , por Notícias sobre Ruby - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 54 vezes

Existe uma vulnerabilidade de exposição de heap no JSON empacotado pelo Ruby. Esta vulnerabilidade recebeu o identificador CVE CVE-2017-14064.

Detalhes

O método generate do módulo JSON aceita opcionalmente uma instância da classe JSON::Ext::Generator::State. Se uma instância maliciosa for passada, o resultado poderá incluir conteúdos do heap.

Todos os usuários rodando uma versão afetada devem fazer upgrade ou usar uma das soluções alternativas imediatamente.

Versões Afetadas

  • Série Ruby 2.2: 2.2.7 e anteriores
  • Série Ruby 2.3: 2.3.4 e anteriores
  • Série Ruby 2.4: 2.4.1 e anteriores
  • antes da revisão do tronco 58323

Soluções Alternativas

A biblioteca JSON também é distribuida como uma gem. Se você não puder fazer upgrade do Ruby, instale uma versão da gem JSON mais nova do que 2.0.4.

Crédito

Agradecimentos a ahmadsherif por reportar este problema.

Histórico

  • Originalmente publicado em 14/09/2017 12:00:00 (UTC)

Escrito por usa em 14/09/2017
Traduzido por jcserracampos


Fonte: https://www.ruby-lang.org/pt/news/2017/09/14/json-heap-exposure-cve-2017-14064/

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.

 Cancelar