작성자: mame (2021-11-24)
번역자: shia
CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2021-41819로 등록되었습니다. Ruby를 갱신하는 것을 강력히 권장합니다.
세부 내용
CGI::Cookie.parse의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다.
공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다.
이 수정으로 CGI::Cookie.parse는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다.
사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요.
이는 CVE-2020-8184와 동일한 문제입니다.
Ruby 2.7이나 3.0을 사용하고 있는 경우,
- cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요.
gem update cgi명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면,Gemfile에gem "cgi", ">= 0.3.1"를 추가해 주세요. - 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.
Ruby 2.6을 사용하고 있는 경우,
- Ruby를 2.6.9로 갱신해 주세요. Ruby 2.6 이하에서는
gem update cgi를 사용할 수 없습니다.
해당 버전
- Ruby 2.6.8 이하 (해당 버전에서는
gem update cgi를 사용할 수 없습니다) - cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
- cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
- cgi gem 0.3.0 이하
도움을 준 사람
이 문제를 발견해 준 ooooooo_q에게 감사를 표합니다.
수정 이력
- 2021-11-24 12:00:00 (UTC) 최초 공개