Skip to content

Commit

Permalink
Translate ReDoS in URI CVE-2023-36617 (es) (#3108)
Browse files Browse the repository at this point in the history 
Co-authored-by: Nombre Usuario <[email protected]>
  • Loading branch information
@vtamara
vtamara and Nombre Usuario authored Sep 12, 2023
1 parent 654f062 commit c03a225
Showing 1 changed file with 56 additions and 0 deletions.
56 changes: 56 additions & 0 deletions es/news/_posts/2023-06-29-redos-in-uri-CVE-2023-36617.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,56 @@
---
layout: news_post
title: "CVE-2023-36617: vulnerabilidad de ReDoS en URI"
author: "hsbt"
translator: vtamara
date: 2023-06-29 01:00:00 +0000
tags: security
lang: es
---

Hemos publicado la gema uri versión 0.12.2 y 0.10.3 que incluyen solución
a una falla de seguridad para una vulnerabilidad ReDoS.
A esta vulnerabilidad se le ha asignado el identificador CVE [CVE-2023-36617](https://www.cve.org/CVERecord?id=CVE-2023-36617).

## Detalles

Un problema de denegación de servicio en expresiones regulares (ReDoS)
fue descubierto en el componente URI de Ruby hasta
la versión 0.12.1. El analizador sintáctico de URI no manejaba correctamente
URLs inválidas con ciertos caracteres específicos. Se producía un
aumento en el tiempo de ejecución al analizar cadenas para objetos
URI con rfc2396_parser.rb y rfc3986_parser.rb.

NOTA: este problema se debió a una solución incompleta para
[CVE-2023-28755](https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/).

La gema `uri` versión 0.12.1 y todas las versiones anteriores a la
0.12.1 son vulnerables.

## Acción recomendada

Recomendamos actualizar la gema `uri` a 0.12.2. Para asegurar
compatibilidad con la versión incluida en series de Ruby anteriores,
debe actualizar así:

* Para Ruby 3.0: Actualizar a `uri` 0.10.3
* Para Ruby 3.1 y 3.2: Actualizar a `uri` 0.12.2

Puede usar `gem update uri` para actualizarla. Si está usando bundler,
por favor agregue `gem "uri", ">= 0.12.2"` (o la otra versión de las recién
mencionada) a su `Gemfile`.

## Versiones afectadas

* gema uri 0.12.1 y anteriores

## Creditos

Agradecemos a [ooooooo_q](https://hackerone.com/ooooooo_q) por descubrir
este problema.

Agradecemos a [nobu](https://github.com/nobu) por resolver este problema.

## Historia

* Publicado originalmente el 2023-06-29 01:00:00 (UTC)

0 comments on commit c03a225

Please sign in to comment.