Ruby 缓冲区溢出漏洞

 漏洞资讯     |      2021-12-02

一、   漏洞描述

攻击者可通过将超过 700MB 的字符串传递给 CGI.escape_html,会导致某些 long 类型占用4个字节的平台(例如 Windows )出现缓冲区溢出。

二、   漏洞详情

CVE-2021-41816   : Ruby 缓冲区溢出漏洞

CVE: CVE-2021-41816  

组件:  Ruby

漏洞类型: 代码问题

影响: 可导致缓存区溢出

简述: 见漏洞描述

三、   影响版本


影响产品或系统版本

安全版本

Ruby

cgi gem < 0.1.1

cgi gem < 0.2.1

cgi gem < 0.3.1

Ruby >= v2.7

Ruby < v2.7.5

Ruby >= v3.0

Ruby < v3.0.3

大于受影响版本

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布补丁,用户请尽快升级

https://www.ruby-lang.org/en/news/2021/11/24/buffer-overrun-in-cgi-escape_html-cve-2021-41816/