阿里云漏洞库

中危 Nokogiri内存破坏漏洞（CVE-2022-29181）

CVE编号

CVE-2022-29181

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-05-21

漏洞描述

Nokogiri是一款用于解析Ruby中HTML和XML的开源软件库。

Nokogiri 1.13.6-1.1版本及之后版本存在内存破坏漏洞，攻击者利用该漏洞可以触发Nokogiri的内存损坏，以触发拒绝服务，并可能运行代码。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://nokogiri.org/

参考链接
http://seclists.org/fulldisclosure/2022/Dec/23
https://github.com/sparklemotion/nokogiri/commit/db05ba9a1bd4b90aa6c76742cf61...
https://github.com/sparklemotion/nokogiri/releases/tag/v1.13.6
https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-xh29-r2w5-wx8m
https://security.gentoo.org/glsa/202208-29
https://securitylab.github.com/advisories/GHSL-2022-031_GHSL-2022-032_Nokogiri/
https://support.apple.com/kb/HT213532

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	nokogiri	nokogiri	*		Up to (excluding) 1.13.6
	运行在以下环境
	系统	alpine_3.16	ruby-nokogiri	*		Up to (excluding) 1.13.6-r0
	运行在以下环境
	系统	alpine_3.17	ruby-nokogiri	*		Up to (excluding) 1.13.6-r0
	运行在以下环境
	系统	alpine_3.18	ruby-nokogiri	*		Up to (excluding) 1.13.6-r0
	运行在以下环境
	系统	alpine_3.19	ruby-nokogiri	*		Up to (excluding) 1.13.6-r0
	运行在以下环境
	系统	amazon_AMI	rubygem-nokogiri	*		Up to (excluding) 1.6.1-1.23.amzn1
	运行在以下环境
	系统	debian_12	ruby-nokogiri	*		Up to (excluding) 1.13.7+dfsg-1
	运行在以下环境
	系统	fedora_34	rubygem-nokogiri	*		Up to (excluding) 1.11.7-3.fc34
	运行在以下环境
	系统	fedora_35	rubygem-nokogiri	*		Up to (excluding) 1.13.1-3.fc35
	运行在以下环境
	系统	fedora_36	rubygem-nokogiri	*		Up to (excluding) 1.13.6-1.fc36
	运行在以下环境
	系统	fedora_EPEL_7	rubygem-nokogiri	*		Up to (excluding) 1.6.1-1.el7.2
	运行在以下环境
	系统	fedora_EPEL_9	rubygem-nokogiri	*		Up to (excluding) 1.13.6-1.el9
	运行在以下环境
	系统	opensuse_Leap_15.3	ruby2.5-rubygem-nokogiri	*		Up to (excluding) 1.8.5-150000.3.9.1
	运行在以下环境
	系统	opensuse_Leap_15.4	ruby2.5-rubygem-nokogiri	*		Up to (excluding) 1.8.5-150400.14.3.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-241	非预期数据类型处理不恰当
CWE-843	使用不兼容类型访问资源（类型混淆）