Skip to content

Translate 2025-02-26 security advisories (ja) #3541

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
wants to merge 1 commit into
base: master
Choose a base branch
from
Open

Translate 2025-02-26 security advisories (ja) #3541

Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
70 changes: 70 additions & 0 deletions ja/news/_posts/2025-02-26-security-advisories.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -0,0 +1,70 @@
---
layout: news_post
title: "セキュリティアドバイザリ: CVE-2025-27219, CVE-2025-27220 および CVE-2025-27221"
author: "hsbt"
translator: "teeta32"
date: 2025-02-26 07:00:00 +0000
tags: security
lang: ja
---

CVE-2025-27219, CVE-2025-27220 および CVE-2025-27221 のセキュリティアドバイザリが公開されました。詳細は以下をお読みください。

## CVE-2025-27219: `CGI::Cookie.parse` におけるDOS脆弱性

cgi gem に DoS 脆弱性が発見されました。本脆弱性に CVE ID[CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219) が割り当てられています。cgi gem のアップグレードを推奨します。

### 詳細

`CGI::Cookie.parse` に悪意を持って作られたクッキー文字列が与えられると線形を超える時間がかかる場合があります。

cgi gem をバージョン 0.3.5.1, 0.3.7, または 0.4.2 以降にアップデートしてください。

### 影響を受けるバージョン

* cgi gem 0.3.5 以前と 0.3.6, 0.4.0 および 0.4.1

### クレジット

本脆弱性は [lio346](https://hackerone.com/lio346) 氏により報告され、[mame](https://github.com/mame) 氏により修正されました。

## CVE-2025-27220: `CGI::Util#escapeElement` におけるReDoS脆弱性

cgi gem にReDoS脆弱性が発見されました。本脆弱性に CVE ID [CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220) が割り当てられています。cgi gem のアップグレードを推奨します。

### 詳細

`CGI::Util#escapeElement` で使われる正規表現が ReDoS に対して脆弱です。細工された入力によって CPU が高負荷になる可能性があります。

本脆弱性は Ruby 3.1 と 3.2 のみに影響します。Ruby 3.1 または 3.2 を利用している場合は、cgi gem をバージョン 0.3.5.1, 0.3.7, または 0.4.2 以降にアップデートしてください。

### 影響を受けるバージョン

* cgi gem 0.3.5 以前と 0.3.6, 0.4.0 および 0.4.1

### クレジット

本脆弱性は [svalkanov](https://hackerone.com/svalkanov) 氏により報告され、[nobu](https://github.com/nobu) 氏により修正されました。

## CVE-2025-27221: `URI#join`, `URI#merge` と `URI#+`. におけるユーザー情報の漏洩

uri gem に ユーザー情報の漏洩の可能性が発見されました。本脆弱性に CVE ID [CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221) が割り当てられています。uri gem のアップグレードを推奨します。

### 詳細

`URI#join`, `URI#merge` と `URI#+` メソッドはホストを変更した後も `user:password` のようなユーザー情報を保持します。これらのメソッドで作成した秘密のユーザー情報を含む URL から悪意のあるホストへの URL を生成し、この生成した URL を使って悪意のあるホストにアクセスすると意図しないユーザー情報の漏洩が起きる可能性があります。

uri gem をバージョン 0.11.3, 0.12.4, 0.13.2 または 1.0.3 以降にアップデートしてください。

### 影響を受けるバージョン

* uri gem 0.11.3 よりも前, 0.12.0 から 0.12.3, 0.13.0, 0.13.1 および 1.0.0 から 1.0.2

### クレジット

本脆弱性は [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa) により報告されました。
また、[nobu](https://github.com/nobu) 氏により本脆弱性の追加の修正がなされました。

## 更新履歴

* 2025-02-26 16:00:00 (JST) 初版