Posted by mame on 29 Sep 2020
Translated by jinroq
WEBrick 内で潜在的な HTTP リクエストスマグリングの脆弱性が発見されました。 この脆弱性は CVE-2020-25613 として登録されています。 webrick gem をアップグレードすることを強く推奨します。
詳細
WEBrick は、無効な Transfer-Encoding ヘッダーに対して寛容すぎました。 これは WEBrick と一部の HTTP プロキシサーバー間で一貫性のない解釈が発生し、攻撃者が HTTP リクエストを”スマグリング(smuggle)”する可能性があります。 詳細は CWE-444 を参照してください。
webric gem を 1.6.1 以降に更新してください。
gem update webrick を実行すれば更新できます。
bundler を使用している場合は、Gemfile に gem "webrick", ">= 1.6.1" を追加してください。
影響を受けるバージョン
- webrick gem 1.6.0 以前
- Ruby 2.7.1 以前のバージョンでバンドルされた webrick
- Ruby 2.6.6 以前のバージョンでバンドルされた webrick
- Ruby 2.5.8 以前のバージョンでバンドルされた webrick
クレジット
この脆弱性情報は piao 氏によって報告されました。
更新履歴
- 2020-09-29 15:30:00 (JST) 初版