작성자: mame (2019-10-01)
번역자: yous
루비에 포함된 WEBrick에 HTTP 응답 분할 취약점이 있습니다. 이 취약점은 CVE 아이디 CVE-2019-16254가 할당되었습니다.
세부 내용
WEBrick을 사용하는 프로그램이 응답 헤더에 신뢰할 수 없는 입력을 삽입한다면, 공격자가 줄바꿈 문자를 넣어 헤더를 분할하고, 악의적인 내용을 주입해 클라이언트를 속일 수 있습니다.
이 문제는 CVE-2017-17742와 동일합니다. 이전 수정은 CRLF 벡터에 대해 대응했지만 따로 떨어진 CR과 LF에 대해서는 대응하지 않았습니다.
해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
해당 버전
- 루비 2.3 이하의 모든 버전
- 루비 2.4 버전대: 루비 2.4.7 이하
- 루비 2.5 버전대: 루비 2.5.6 이하
- 루비 2.6 버전대: 루비 2.6.4 이하
- 루비 2.7.0-preview1
- 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 커밋 이전의 master
감사의 글
이 문제를 발견해 준 znz에게 감사를 표합니다.
수정 이력
- 2019-10-01 11:00:00 (UTC) 최초 공개