Ditulis oleh mame tanggal 2020-09-29
Diterjemahkan oleh meisyal
Sebuah potensi kerentanan HTTP request smuggling pada WEBrick telah dilaporkan. Kerentanan ini ditetapkan sebagai penanda CVE CVE-2020-25613. Kami sangat merekomendasikan Anda untuk memperbarui webrick gem.
Detail
WEBrick sangat toleran terhadap sebuah Transfer-Encoding header yang tidak valid. Hal ini bisa menyebabkan interpretasi yang tidak konsisten antara WEBrick dan beberapa HTTP proxy server, yang memperbolehkan penyerang untuk “smuggle” sebuah request. Lihat CWE-444 untuk lebih detail.
Mohon perbarui webrick gem ke versi 1.6.1 atau setelahnya. Anda dapat
menggunakan gem update webrick untuk memperbarui. Jika Anda menggunakan
bundler, tambahkan gem "webrick", ">= 1.6.1" pada Gemfile Anda.
Versi terimbas
- webrick gem 1.6.0 atau sebelumnya
- versi webrick yang di-bundle Ruby 2.7.1 atau sebelumnya
- versi webrick yang di-bundle Ruby 2.6.6 atau sebelumnya
- versi webrick yang di-bundle Ruby 2.5.8 atau sebelumnya
Rujukan
Terima kasih kepada piao yang telah menemukan masalah ini.
Riwayat
- Semula dipublikasikan pada 2020-09-29 06:30:00 (UTC)