CVE-2021-41819: Suplantación de identidad del prefijo de galletas en CGI::Cookie.parse

Publicado por mame el 2021-11-24
Traducción de vtamara

Se descubrió una vulnerabilidad de suplantación de identidad de prefijos de galletas (cookies) en CGI::Cookie.parse. A esta vulnerabilidad se el ha asignado el identificador CVE CVE-2021-41819. Recomendamos con énfasis actualizar Ruby.

Detalles

La antigua versión de CGI::Cookie.parse aplicaba decodificación de URL a los nombres de galletas. Un atacante podría explotar esta vulnerabilidad para suplantar prefijos de seguridad en los nombres de las galletas, que podría permitirle engañar a una aplicación vulnerable.

Con este arreglo, CGI::Cookie.parse ya no decodifica los nombres de las galletas. Note que esto es una incompatibilidad si los nombres de galletas que está usando incluyendo carácteres no alfanuméricos que no están codificados como URL.

Este es el mismo incidente CVE-2020-8184.

Si está usando Ruby 2.7 o 3.0:

  • Por favor actualice la gema cgi a la versión 0.3.1, 0.2.1, y 0.1.1 o posterior. Puede usar gem update cgi para actualizarla. Si usa bundler por favor agregue gem "cgi", ">= 0.3.1" a su Gemfile.
  • De manera alternativa, por favor actualice Ruby a 2.7.5 o 3.0.3.

Si usa Ruby 2.6:

  • Por favor actualice Ruby a 2.6.9. No puede usar gem update cgi con Ruby 2.6 o anteriores.

Versiones afectadas

  • ruby 2.6.8 o anteriores (No puede usar gem update cgi para esta versión.)
  • Gema cgi 0.1.0 o anteriores (que son versiones incorporadas en la serie Ruby 2.7 antes de Ruby 2.7.5)
  • Gema cgi 0.2.0 o anteriores (que son versiones incorporadas en la serie Ruby 3.0 antes de Ruby 3.0.3)
  • Gema cgi 0.3.0 o anteriores

Créditos

Agradecemos a ooooooo_q por descubrir este problema.

Historia

  • Publicado originalmente el 2021-11-24 12:00:00 (UTC)