Geschrieben von mame am 29.9.2020
Übersetzt von Marvin Gülker
Es wurde eine Sicherheitslücke in WEBrick entdeckt, die das Durchschmuggeln von HTTP-Requests ermöglichen könnte. Dieser Schwachstelle wurde die CVE-Nummer CVE-2020-25613 zugewiesen. Wir empfehlen mit Nachdruck, das Webrick-Gem zu aktualisieren.
Details
WEBrick ist zu nachsichtig mit fehlerhaften Transfer-Encoding-Kopfzeilen umgegangen. Das kann zu einer uneinheitlichen Interpretation zwischen WEBrick und einigen HTTP-Proxy-Servern führen, die es Angreifern möglicherweise erlaubt, ein Request zu „schmuggeln“. Siehe CWE-444 für Details.
Bitte aktualisieren Sie das Webrick-Gem auf Version 1.6.1 oder später.
Dazu können Sie gem update webrick benutzen. Wenn Sie Bundler
verwenden, fügen Sie gem "webrick", ">= 1.6.1" zur Gemfile hinzu.
Betroffene Versionen
- webrick-Gem 1.6.0 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.7.1 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.6.6 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.5.8 oder früher
Danksagung
Dank an piao für die Entdeckung des Problems.
Historie
- Erstmals veröffentlicht am 2020-09-29 06:30:00 (UTC)