Merge pull request from GHSA-vgj7-8xwh-w5jv

Announce a security issue of JSON gem (<= 2.2.0)

Author: mame

en/news/_posts/2020-03-19-json-dos-cve-2020-10663.md

@@ -0,0 +1,31 @@
+---
+layout: news_post
+title: "CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix)"
+author: "mame"
+date: 2020-03-19 22:00:00 +0900
+lang: en
+---
+
+There is an unsafe object creation vulnerability in the json gem bundled with Ruby. This vulnerability has been assigned the CVE identifier [CVE-2020-10663](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10663). We strongly recommend upgrading the json gem.
+
+## Details
+
+When parsing certain JSON documents, the json gem (including the one bundled with Ruby) can be coerced into creating arbitrary objects in the target system.
+
+This is the same issue as [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/).  The previous fix was incomplete, which addressed `JSON.parse(user_input)`, but didn't address some other styles of JSON parsing including `JSON(user_input)` and `JSON.parse(user_input, nil)`.
+
+See [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/) in detail.  Note that the issue was exploitable to cause a Denial of Service by creating many garbage-uncollectable Symbol objects, but this kind of attack is no longer valid because Symbol objects are now garbage-collectable.  However, creating arbitrary objects may cause severe security consequences depending upon the application code.
+
+Please update the json gem to version 2.3.0 or later.  You can use `gem update json` to update it.  If you are using bundler, please add `gem "json", ">= 2.3.0"` to your `Gemfile`.
+
+## Affected versions
+
+* JSON gem 2.2.0 or prior
+
+## Credits
+
+Thanks to Jeremy Evans for discovering this issue.
+
+## History
+
+* Originally published at 2020-03-19 13:00:00 (UTC)

ja/news/_posts/2020-03-19-json-dos-cve-2020-10663.md

@@ -0,0 +1,36 @@
+---
+layout: news_post
+title: "CVE-2020-10663: JSON における安全でないオブジェクトの生成の脆弱性について（追加の修正）"
+author: "mame"
+date: 2020-03-19 22:00:00 +0900
+lang: en
+---
+
+RubyにバンドルされているJSON gemに、安全でないオブジェクトの生成を可能とする脆弱性が報告されました。
+この脆弱性は [CVE-2020-10663](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10663) として登録されています。
+ユーザのみなさんにはJSON gemを更新することを強くおすすめします。
+
+## 詳細
+
+対象のシステムにJSONドキュメントをパースさせる際に、JSON gem（Rubyにバンドルされているものを含む）に対して任意のオブジェクトを生成させることができます。
+
+これは [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/) と同じ問題です。
+当時の修正は不完全で、`JSON.parse(user_input)`は対処していましたが、`JSON(user_input)`や`JSON.parse(user_input, nil)`などといった他のスタイルのJSONパースが対処されていませんでした。
+
+攻撃について詳しくは [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/) のアナウンスをご参照ください。
+なお、当時はこの問題によってガベージコレクトできないSymbolオブジェクトを大量に生成することでサービス不能攻撃（Denial of Service）を引き起こすことができましたが、今はSymbolオブジェクトはガベージコレクト可能なのでこのタイプの攻撃は成立しません。
+しかしながら、任意オブジェクトを生成することはアプリケーションコード次第で致命的な結果を引き起こす可能性があります。
+
+json gemを2.3.0かそれ以降にしてください。`gem update json`でアップデートできます。もしbundlerを使っている場合は、Gemfileに`gem "json", ">= 2.3.0"`を追加してください。
+
+## 影響を受けるバージョン
+
+* JSON gem 2.2.0 およびそれ以前のバージョン
+
+## Credits
+
+この問題を発見したJeremy Evansに感謝します。
+
+## History
+
+* 2020-03-19 22:00:00 (JST) 初版