一、 漏洞描述
攻击者可通过将超过 700MB 的字符串传递给 CGI.escape_html,会导致某些 long 类型占用4个字节的平台(例如 Windows )出现缓冲区溢出。
二、 漏洞详情
CVE-2021-41816 : Ruby 缓冲区溢出漏洞
CVE: CVE-2021-41816
组件: Ruby
漏洞类型: 代码问题
影响: 可导致缓存区溢出
简述: 见漏洞描述
三、 影响版本
影响产品或系统版本 | 安全版本 | |
Ruby | cgi gem < 0.1.1 cgi gem < 0.2.1 cgi gem < 0.3.1 Ruby >= v2.7 Ruby < v2.7.5 Ruby >= v3.0 Ruby < v3.0.3 | 大于受影响版本 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布补丁,用户请尽快升级
https://www.ruby-lang.org/en/news/2021/11/24/buffer-overrun-in-cgi-escape_html-cve-2021-41816/