Ruby 緩沖區(qū)溢出漏洞

 漏洞資訊     |      2021-12-02

一、   漏洞描述

攻擊者可通過(guò)將超過(guò) 700MB 的字符串傳遞給 CGI.escape_html,會(huì)導(dǎo)致某些 long 類型占用4個(gè)字節(jié)的平臺(tái)(例如 Windows )出現(xiàn)緩沖區(qū)溢出。

二、   漏洞詳情

CVE-2021-41816   : Ruby 緩沖區(qū)溢出漏洞

CVE: CVE-2021-41816  

組件:  Ruby

漏洞類型: 代碼問(wèn)題

影響: 可導(dǎo)致緩存區(qū)溢出

簡(jiǎn)述: 見(jiàn)漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Ruby

cgi gem < 0.1.1

cgi gem < 0.2.1

cgi gem < 0.3.1

Ruby >= v2.7

Ruby < v2.7.5

Ruby >= v3.0

Ruby < v3.0.3

大于受影響版本

四、   安全版本

見(jiàn)三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布補(bǔ)丁,用戶請(qǐng)盡快升級(jí)

https://www.ruby-lang.org/en/news/2021/11/24/buffer-overrun-in-cgi-escape_html-cve-2021-41816/