Geschrieben von usa am 28.3.2018
Übersetzt von Marvin Gülker
In dem in Ruby enthaltenen WEBrick ist eine Sicherheitslücke entdeckt worden, die zur Veränderung von HTTP-Antworten genutzt werden kann. Man hat dieser Sicherheitslücke die CVE-Nummer CVE-2017-17742 zugewiesen.
Details
Wenn ein Skript externe Eingaben annimmt und ohne Veränderung als Teil einer HTTP-Antwort weitergibt, kann ein Angreifer Zeilenumbrüche einfügen, die die Clients glauben machen, dass die HTTP-Kopfzeilen der Antwort an dieser Stelle zu Ende seien. Nach den Zeilenumbrüchen kann er gefälschte HTTP-Antworten einfügen, um den Clients beliebige Inhalte zuzuführen.
Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.
Betroffene Versionen
- Ruby 2.2er-Serie: 2.2.9 und früher
- Ruby 2.3er-Serie: 2.3.6 und früher
- Ruby 2.4er-Serie: 2.4.3 und früher
- Ruby 2.5er-Serie: 2.5.0 und früher
- Ruby 2.6er-Serie: 2.6.0-preview1
- Trunk vor Revision r62968
Danksagung
Dank an Aaron Patterson tenderlove@ruby-lang.org für die Meldung des Problems.
Historie
- Erstveröffentlicht am 2018-03-28 14:00:00 (UTC)