Vulnerabilidad en regex (CVE-2022-24713)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/03/2022
Última modificación:
07/11/2023
Descripción
regex es una implementación de expresiones regulares para el lenguaje Rust. La caja de regex presenta mitigaciones incorporadas para prevenir ataques de denegación de servicio causados por regexes no confiables, o por entradas no confiables coincidentes con regexes confiables. Estas mitigaciones (sintonizables) ya proporcionan valores predeterminados sanos para prevenir ataques. Esta garantía está documentada y se considera parte de la API de la caja. Desafortunadamente, se descubrió un error en las mitigaciones diseñadas para evitar que las expresiones regulares no confiables tomen una cantidad arbitraria de tiempo durante el análisis, y es posible crear expresiones regulares que eludan dichas mitigaciones. Esto hace posible realizar ataques de denegación de servicio enviando regexes especialmente diseñados a servicios que aceptan regexes no confiables controlados por el usuario. Todas las versiones de regex crate anteriores o iguales a la 1.5.4 están afectadas por este problema. La corrección se incluye a partir de regex 1.5.5. Se recomienda a todos los usuarios que acepten regexes controlados por el usuario que actualicen inmediatamente a la última versión del regex crate. Lamentablemente, no existe un conjunto fijo de regexes problemáticos, ya que hay prácticamente infinitas regexes que podrían ser creadas para explotar esta vulnerabilidad. Por ello, no recomendamos negar las regex problemáticas conocidas
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rust-lang:regex:*:*:*:*:*:rust:*:* | 1.5.5 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/rust-lang/regex/commit/ae70b41d4f46641dbc45c7a4f87954aea356283e
- https://github.com/rust-lang/regex/security/advisories/GHSA-m5pq-gvj9-9vr8
- https://groups.google.com/g/rustlang-security-announcements/c/NcNNL1Jq7Yw
- https://lists.debian.org/debian-lts-announce/2022/04/msg00003.html
- https://lists.debian.org/debian-lts-announce/2022/04/msg00009.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JANLZ3JXWJR7FSHE57K66UIZUIJZI67T/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O3YB7CURSG64CIPCDPNMGPE4UU24AB6H/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PDOWTHNVGBOP2HN27PUFIGRYNSNDTYRJ/
- https://security.gentoo.org/glsa/202208-08
- https://security.gentoo.org/glsa/202208-14
- https://www.debian.org/security/2022/dsa-5113
- https://www.debian.org/security/2022/dsa-5118