Escrito por usa em 14/09/2017
Traduzido por jcserracampos
Existe uma vulnerabilidade de injeção de sequência de escape na autenticação Basic do WEBrick empacotado com Ruby. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-10784.
Detalhes
Quando usando autenticação Basic do WEBrick, clientes podem passar strings arbitrárias como nome de usuário. WEBrick produz saídas com o nome de usuário intacto no log, então o atacante pode injetar sequências de escape maliciosas para o log e control characters perigosos podem ser executados no emulador de terminal da vítima.
Essa vulnerabilidade é similar a uma vulnerabilidade já corrigida (Em inglês), mas isso não foi corrigido na autenticação Basic.
Todos os usuários rodando uma versão com essa vulnerabilidade devem atualizá-la imediatamente.
Versões Afetadas
- Série Ruby 2.2: 2.2.7 e anteriores
- Série Ruby 2.3: 2.3.4 e anteriores
- Série Ruby 2.4: 2.4.1 e anteriores
- anterior à revisão de árvore 58453
Créditos
Obrigado Yusuke Endoh mame@ruby-lang.org por reportar este problema.
History
- Originalmente publicado em 14 de setembro de 2017 12:00:00 (UTC)