PT-2021-4288 · Ruby+2 · Bindata+2
Kuahyeow
·
Publicado
2021-05-18
·
Atualizado
2024-08-21
·
CVE-2021-32823
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do RubyGem bindata anteriores à 2.4.10
Descrição
O problema está relacionado a uma possível vulnerabilidade de negação de serviço no RubyGem bindata. Nas versões afetadas, a criação de certas classes no BinData é muito lenta, como
BinData::Bit100000, BinData::Bit100001, BinData::Bit100002 e BinData::Bit<N>. Quando combinado com <user input>.constantize, existe o potencial para um ataque de negação de serviço baseado na CPU. Essa vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço.Recomendações
Para versões do RubyGem bindata anteriores à 2.4.10, atualize para a versão 2.4.10 ou posterior, que melhora o tempo de criação de Bits e Inteiros, corrigindo a vulnerabilidade potencial de negação de serviço. Como solução temporária, considere restringir o uso das classes vulneráveis, como
BinData::Bit<N>, para minimizar o risco de exploração. Além disso, evite usar o método <user input>.constantize em combinação com essas classes até que o problema seja resolvido.Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Gitlab
Bindata