websocket-extensions拒绝服务漏洞

2023-12-01 21:28:17 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2020-7663

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-03

websocket-extensions是一款开源的WebSocket通用扩展管理器。 websocket-extensions（ruby）0.1.5之前版本中存在安全漏洞。攻击者可借助恶意的payload利用该漏洞造成拒绝服务。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://blog.jcoglan.com/2020/06/02/redos-vulnerability-in-websocket-extensions
https://github.com/faye/websocket-extensions-ruby/commit/aa156a439da681361ed6...
https://github.com/faye/websocket-extensions-ruby/security/advisories/GHSA-g6...
https://lists.debian.org/debian-lts-announce/2020/08/msg00031.html
https://snyk.io/vuln/SNYK-RUBY-WEBSOCKETEXTENSIONS-570830
https://usn.ubuntu.com/4502-1/

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	websocket-extensions_project	websocket-extensions	*		Up to (excluding) 0.1.5
	运行在以下环境
	系统	debian_10	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb10u1
	运行在以下环境
	系统	debian_11	ruby-websocket-extensions	*		Up to (excluding) 0.1.5-1
	运行在以下环境
	系统	debian_12	ruby-websocket-extensions	*		Up to (excluding) 0.1.5-1
	运行在以下环境
	系统	debian_9	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1
	运行在以下环境
	系统	debian_sid	ruby-websocket-extensions	*		Up to (excluding) 0.1.5-1
	运行在以下环境
	系统	opensuse_Leap_15.4	ruby2.5-rubygem-websocket-extensions	*		Up to (excluding) 0.1.3-150000.3.4.1
	运行在以下环境
	系统	ubuntu_16.04	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_20.04	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb9u1build0.20.04.1
	运行在以下环境
	系统	unionos_d	ruby-websocket-extensions	*		Up to (excluding) 0.1.2-1+deb10u1