CVE-2013-1812

描述

The ruby-openid gem before 2.2.2 for Ruby allows remote OpenID providers to cause a denial of service (CPU consumption) via (1) a large XRDS document or (2) an XML Entity Expansion (XEE) attack.

如何修補 CVE-2013-1812

要修補 CVE-2013-1812,請將受影響套件升級到下列已修補版本。

• Debian/ruby-openid—升級至 2.1.8debian-6 或更新版本
• RubyGems/ruby-openid—升級至 2.2.2 或更新版本

CVE-2013-1812 正在被利用嗎?

低 — EPSS 為 0.5%,目前沒有觀察到大規模利用活動。

受影響套件(2)

• from 0, < 2.1.8debian-6
• from 0, < 2.2.2

參考連結(12)

• ADVISORYgithub.com/advisories/GHSA-6c8p-qphv-668v
• ADVISORYnvd.nist.gov/vuln/detail/CVE-2013-1812
• ADVISORYsecurity-tracker.debian.org/tracker/CVE-2013-1812
• PATCHgithub.com/openid/ruby-openid
• WEB