작성자: mame (2020-09-29)
번역자: shia
WEBrick에서 잠재적인 HTTP 요청 스머글링 취약점이 보고되었습니다. 이 취약점에 CVE-2020-25613이 할당되었습니다. webrick 젬을 업그레이드하는 것을 강력히 권장합니다.
세부 내용
WEBrick은 유효하지 않은 Transfer-Encoding 헤더에 너무 관대했습니다. 이는 WEBrick과 몇몇 HTTP 프록시 서버들 사이에서 해석 불일치를 유발해 공격자가 어떤 요청을 몰래 끼워넣을 수 있도록 합니다. 자세한 설명은 CWE-444를 참고하세요.
webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 gem update webrick 명령을 사용하세요. 만약 bundler를 사용하고 있다면 Gemfile에 gem "webrick", ">= 1.6.1"을 추가하세요.
해당 버전
- webrick 젬 1.6.0 이하
- 루비 2.7 버전대: 2.7.1 이하의 루비에 포함된 webrick
- 루비 2.6 버전대: 2.6.6 이하의 루비에 포함된 webrick
- 루비 2.5 버전대: 2.5.8 이하의 루비에 포함된 webrick
도움을 준 사람
이 문제를 발견해 준 piao에게 감사를 표합니다.
수정 이력
- 2020-09-29 06:30:00 (UTC) 최초 공개