CVE-2019-16254: HTTP-Antwortveränderung in WEBrick (zusätzliche Fehlerkorrektur)

In dem in Ruby enthaltenen WEBrick ist eine Sicherheitslücke entdeckt worden, die zur Veränderung von HTTP-Antworten genutzt werden kann. Man hat dieser Sicherheitslücke die CVE-Nummer CVE-2019-16254 zugewiesen.

Details

Wenn ein Skript externe Eingaben annimmt und ohne Veränderung als Teil einer HTTP-Antwort weitergibt, kann ein Angreifer Zeilenumbrüche einfügen, um Schadinhalte zwecks Täuschung der Clients einzuschleusen.

Es handelt sich hierbei um dasselbe Problem, das schon als CVE-2017-17742 bekannt ist. Die frühere Fehlerkorrektur erwies sich jedoch als unvollständig, da sie lediglich einen Angriff mithilfe von CRLF verhinderte, nicht aber einen mithilfe eines isolierten CR oder LF.

Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.

Betroffene Versionen

  • Alle Ruby-Versionen bis einschließlich Ruby 2.3
  • Ruby 2.4er-Serie: Ruby 2.4.7 und früher
  • Ruby 2.5er-Serie: Ruby 2.5.6 und früher
  • Ruby 2.6er-Serie: Ruby 2.6.4 und früher
  • Ruby 2.7.0-preview1
  • Master vor Revision 3ce238b5f9795581eb84114dcfbdf4aa086bfecc

Danksagung

Dank an znz, der das Problem entdeckt hat.

Historie

  • Erstveröffentlicht am 2019-10-01 11:00:00 (UTC)