PT-2021-3937 · Ruby+1 · Addressable+1

Sporkmonger

·

Publicado

2021-07-03

·

Atualizado

2024-06-15

·

CVE-2021-32740

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Addressable 2.3.0 a 2.7.0
Descrição
O problema está relacionado a uma vulnerabilidade de consumo descontrolado de recursos na biblioteca Addressable, que é uma implementação alternativa à implementação de URI na biblioteca padrão do Ruby. Essa vulnerabilidade pode ser explorada por um modelo criado de forma maliciosa, levando à negação de serviço quando comparado a um URI. Normalmente, os modelos não seriam lidos a partir de entradas de usuários não confiáveis, mas alertas de segurança anteriores não advertiram contra essa prática. Usuários dos recursos de análise do Addressable, mas não dos recursos de modelos URI, não são afetados.
Recomendações
Para as versões 2.3.0 a 2.7.0 do Addressable, atualize para a versão 2.8.0 para resolver o problema.
Como solução alternativa temporária, crie objetos Template apenas a partir de fontes confiáveis que tenham sido validadas para não produzir backtracking catastrófico.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-400

Identificadores relacionados

ALT-PU-2021-2674
ALT-PU-2022-2550
BDU:2021-04454
CVE-2021-32740
GHSA-JXHC-Q857-3J6G
MGASA-2021-0417
OESA-2021-1278
OPENSUSE-SU-2024:11592-1
OPENSUSE-SU-2024:12247-1
OPENSUSE-SU-2024:13157-1
RHSA-2021:4702
SUSE-SU-2021:2927-1
SUSE-SU-2021:2928-1

Produtos afetados

Alt Linux
Addressable