Skip to content

Commit c03a225

Browse files
vtamaraNombre Usuario
vtamara
and
Nombre Usuario
authored
Translate ReDoS in URI CVE-2023-36617 (es) (#3108)
Co-authored-by: Nombre Usuario <correo@usuario.net>
1 parent 654f062 commit c03a225

File tree

1 file changed

+56
-0
lines changed

1 file changed

+56
-0
lines changed

es/news/_posts/2023-06-29-redos-in-uri-CVE-2023-36617.md

Lines changed: 56 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,56 @@
1+
---
2+
layout: news_post
3+
title: "CVE-2023-36617: vulnerabilidad de ReDoS en URI"
4+
author: "hsbt"
5+
translator: vtamara
6+
date: 2023-06-29 01:00:00 +0000
7+
tags: security
8+
lang: es
9+
---
10+
11+
Hemos publicado la gema uri versión 0.12.2 y 0.10.3 que incluyen solución
12+
a una falla de seguridad para una vulnerabilidad ReDoS.
13+
A esta vulnerabilidad se le ha asignado el identificador CVE [CVE-2023-36617](https://www.cve.org/CVERecord?id=CVE-2023-36617).
14+
15+
## Detalles
16+
17+
Un problema de denegación de servicio en expresiones regulares (ReDoS)
18+
fue descubierto en el componente URI de Ruby hasta
19+
la versión 0.12.1. El analizador sintáctico de URI no manejaba correctamente
20+
URLs inválidas con ciertos caracteres específicos. Se producía un
21+
aumento en el tiempo de ejecución al analizar cadenas para objetos
22+
URI con rfc2396_parser.rb y rfc3986_parser.rb.
23+
24+
NOTA: este problema se debió a una solución incompleta para
25+
[CVE-2023-28755](https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/).
26+
27+
La gema `uri` versión 0.12.1 y todas las versiones anteriores a la
28+
0.12.1 son vulnerables.
29+
30+
## Acción recomendada
31+
32+
Recomendamos actualizar la gema `uri` a 0.12.2. Para asegurar
33+
compatibilidad con la versión incluida en series de Ruby anteriores,
34+
debe actualizar así:
35+
36+
* Para Ruby 3.0: Actualizar a `uri` 0.10.3
37+
* Para Ruby 3.1 y 3.2: Actualizar a `uri` 0.12.2
38+
39+
Puede usar `gem update uri` para actualizarla. Si está usando bundler,
40+
por favor agregue `gem "uri", ">= 0.12.2"` (o la otra versión de las recién
41+
mencionada) a su `Gemfile`.
42+
43+
## Versiones afectadas
44+
45+
* gema uri 0.12.1 y anteriores
46+
47+
## Creditos
48+
49+
Agradecemos a [ooooooo_q](https://hackerone.com/ooooooo_q) por descubrir
50+
este problema.
51+
52+
Agradecemos a [nobu](https://github.com/nobu) por resolver este problema.
53+
54+
## Historia
55+
56+
* Publicado originalmente el 2023-06-29 01:00:00 (UTC)

0 commit comments

Comments
 (0)