Уязвимость CVE-2021-22880: Информация

Описание

The PostgreSQL adapter in Active Record before 6.1.2.1, 6.0.3.5, 5.2.4.5 suffers from a regular expression denial of service (REDoS) vulnerability. Carefully crafted input can cause the input validation in the `money` type of the PostgreSQL adapter in Active Record to spend too much time in a regular expression, resulting in the potential for a DoS attack. This only impacts Rails applications that are using PostgreSQL along with money type columns that take user input.

Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2021-22880
Опубликовано: 11 февраля 2021 г.
Изменено: 7 ноября 2023 г.
Идентификатор типа ошибки: CWE-400

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
gem-railssisyphus6.1.3.2-alt16.1.7.7-alt1ALT-PU-2021-2595-1263530Исправлено
gem-railsp106.1.7.1-alt1.16.1.7.1-alt1.2ALT-PU-2023-4268-4307833Исправлено
gem-railsc10f16.1.7.1-alt1.25.2.4.4-alt2ALT-PU-2024-7814-2334397Тестирование
gem-railsp116.1.3.2-alt16.1.7.7-alt1ALT-PU-2021-2595-1263530Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://hackerone.com/reports/1023899
  • Exploit
  • Patch
  • Third Party Advisory
https://discuss.rubyonrails.org/t/cve-2021-22880-possible-dos-vulnerability-in-active-record-postgresql-adapter/77129
  • Mitigation
  • Patch
  • Vendor Advisory
DSA-4929
  • Third Party Advisory
https://security.netapp.com/advisory/ntap-20210805-0009/
  • Third Party Advisory
FEDORA-2021-b571fca1b8
    FEDORA-2021-def0e32233

        1. Конфигурация 1

          cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:*
          Start including
          6.1.0
          End excliding
          6.1.2.1
          cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:*
          Start including
          6.0.0
          End excliding
          6.0.3.5
          cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:*
          Start including
          4.2.0
          End excliding
          5.2.4.5

          Конфигурация 2

          cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
          cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
      VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
      Версия: v24.5.3
      Наверх