ruby · vtamara · Sep 12, 2023 · Sep 5, 2023
@@ -0,0 +1,56 @@
+---
+layout: news_post
+title: "CVE-2023-36617: vulnerabilidad de ReDoS en URI"
+author: "hsbt"
+translator: vtamara
+date: 2023-06-29 01:00:00 +0000
+tags: security
+lang: es
+---
+
+Hemos publicado la gema uri versión 0.12.2 y 0.10.3 que incluyen solución
+a una falla de seguridad para una vulnerabilidad ReDoS.
+A esta vulnerabilidad se le ha asignado el identificador CVE [CVE-2023-36617](https://www.cve.org/CVERecord?id=CVE-2023-36617).
+
+## Detalles
+
+Un problema de denegación de servicio en expresiones regulares (ReDoS)
+fue descubierto en el componente URI de Ruby hasta
+la versión 0.12.1.  El analizador sintáctico de URI no manejaba correctamente
+URLs inválidas con ciertos caracteres específicos. Se producía un
+aumento en el tiempo de ejecución al analizar cadenas para objetos
+URI con rfc2396_parser.rb y rfc3986_parser.rb.
+
+NOTA: este problema se debió a una solución incompleta para
+[CVE-2023-28755](https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/).
+
+La gema `uri` versión 0.12.1 y todas las versiones anteriores a la
+0.12.1 son vulnerables.
+
+## Acción recomendada
+
+Recomendamos actualizar la gema `uri` a 0.12.2. Para asegurar
+compatibilidad con la versión incluida en series de Ruby anteriores,
+debe actualizar así:
+
+* Para Ruby 3.0: Actualizar a `uri` 0.10.3
+* Para Ruby 3.1 y 3.2: Actualizar a `uri` 0.12.2
+
+Puede usar `gem update uri` para actualizarla. Si está usando bundler,
+por favor agregue `gem "uri", ">= 0.12.2"` (o la otra versión de las recién
+mencionada) a su `Gemfile`.
+
+## Versiones afectadas
+
+* gema uri 0.12.1 y anteriores
+
+## Creditos
+
+Agradecemos a [ooooooo_q](https://hackerone.com/ooooooo_q) por descubrir
+este problema.
+
+Agradecemos a [nobu](https://github.com/nobu) por resolver este problema.
+
+## Historia
+
+* Publicado originalmente el 2023-06-29 01:00:00 (UTC)