PT-2021-7337 · Ruby+10 · Date Gem+11

Svalkanov

Publicado

2021-11-15

Atualizado

2025-12-12

CVE-2021-41817

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Versões da gem date anteriores à 3.2.1

Versões da gem date anteriores à 3.1.2

Versões da gem date anteriores à 3.0.2

Versões da gem date anteriores à 2.0.1

Descrição

O problema está relacionado a uma vulnerabilidade ReDoS (Negação de Serviço por Expressão Regular) na gem date para Ruby, que pode ser explorada usando uma string longa. Isso pode levar a uma negação de serviço. A vulnerabilidade se deve ao uso de expressões regulares internamente nos métodos de análise de data, incluindo Date.parse. Aplicativos e bibliotecas que aplicam tais métodos a entradas não confiáveis podem ser afetados.

Recomendações

Para versões da gem date anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior.

Para versões da gem date anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior.

Para versões da gem date anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior.

Para versões da gem date anteriores à 2.0.1, atualize para a versão 2.0.1 ou posterior.

Como solução alternativa temporária, considere usar Date.strptime com um formato de data predefinido, como Date.strptime(‘2001-02-20’, ‘%Y-%m-%d’).

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-1333

Identificadores relacionados

ALSA-2022:0543

ALSA-2022:5779

ALSA-2022:6447

ALSA-2022:6450

ALSA-2022_0543

ALSA-2022_5779

ALSA-2022_6447

ALSA-2022_6450

ALSA-2025_16880

ALT-PU-2021-3482

ALT-PU-2023-4264

ALT-PU-2024-7811

AZL-7110

BDU:2022-05714

BIT-RUBY-2021-41817

BIT-RUBY-MIN-2021-41817

CESA-2022_0543

CESA-2022_5779

CESA-2022_6447

CESA-2022_6450

CVE-2021-41817

DLA-2853-1

DSA-5066-1

DSA-5067-1

ELSA-2022-0543

ELSA-2022-5779

ELSA-2022-6447

ELSA-2022-6450

GHSA-QG54-694P-WGPP

MGASA-2021-0579

OESA-2024-2581

OPENSUSE-SU-2022_1512-1

OPENSUSE-SU-2023_4176-1

OPENSUSE-SU-2024:11657-1

OPENSUSE-SU-2024:11658-1

OPENSUSE-SU-2024:11786-1

OPENSUSE-SU-2024:12712-1

OPENSUSE-SU-2024:13623-1

OPENSUSE-SU-2025:14621-1

OPENSUSE-SU-2025:15819-1

RHSA-2022:0543

RHSA-2022:0544

RHSA-2022:0581

RHSA-2022:0582

RHSA-2022:0708

RHSA-2022:5779

RHSA-2022:6447

RHSA-2022:6450

RHSA-2022:6855

RHSA-2022:6856

RHSA-2022_0543

RHSA-2022_5779

RHSA-2022_6447

RHSA-2022_6450

RLSA-2022:0543

RLSA-2022:5779

RLSA-2022:6447

RLSA-2022:6450

RLSA-2022_0543

RLSA-2022_5779

RLSA-2022_6447

RLSA-2022_6450

SUSE-SU-2022:1512-1

SUSE-SU-2022_1512-1

SUSE-SU-2023:4176-1

SUSE-SU-2023_4176-1

USN-5235-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Linuxmint

Red Hat

Red Os

Rocky Linux

Ruby

Suse

Ubuntu

Date Gem

PT-2021-7337 · Ruby+10 · Date Gem+11

CVE-2021-41817

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 140