Inserito da Fabio Cevasco il 2010-11-14

Una possibile vulnerabilità di sisurezza è stata trovata in WEBrick. La vulnerabilità è stata segnalata come CVE-2010-0541.

CVE-2010-0541

Descrizione

WEBrick ha una vulnerabilità di cross-site scripting vulnerability che da la possibilità di iniettare uno script arbitrario o del codice HTML attraverso una URI creata ad hoc. Questo problema non riguarda gli user agent che implementano HTTP/1.1 in maniera stretta, purtroppo però alcuni user agent non lo fanno.

Le versioni affette dal problema sono:

• Ruby 1.8.6-p399 e precedenti.
• Ruby 1.8.7-p299 e precedenti.
• Ruby 1.9.1-p429 e precedenti.
• Ruby 1.9.2 RC2 e precedenti.
• Versioni di sviluppo di Ruby 1.9 (1.9.3dev).

Raccomandiamo di aggiornare la propria versione di Ruby agli ultimi rilasci di patch.

Soluzioni

• Correzioni per 1.8.6, 1.8.7 e 1.9.1 seguiranno questo annuncio.
  • 1.8.6:
  • 1.8.7: aggiornare a 1.8.7 patchlevel 302
  • 1.9.1: aggiornare a 1.9.1 patchlevel 430
• Per le versioni di sviluppo, aggiornare all'ultima versione di ogni branch di sviluppo.

• È possibile anche correggere la vulnerabilità applicando una patch a $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb. La patch è disponibile qui: <URL:https://cache.ruby-lang.org/pub/misc/webrick-cve-2010-0541.diff>, ed è stata scritta da Hirokazu NISHIO.

  SIZE:

  466 bytes

  MD5:

  395585e1aae7ddef842f0d1d9f5e6e07

  SHA256:

  6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567

Crediti

La vulnerabilità è stata trovata dalla Apple e segnalata al team di sicurezza di Ruby da Hideki Yamane ^*1

Aggiornamenti

• Originariamente pubblicato il 2010-08-16 10:26:03 JST.
• 1.9.1 patchlevel 430 rilasciato
• 1.8.7 patchlevel 301 rilasciato
• 1.8.7 patchlevel 302 rilasciato per problemi con pl301. Si prega di usare questo rilascio e non i precedente.

^*1 [ruby-dev:42003]

Feed RSS

Ultime Notizie (RSS)