Escrito por mame em 29/09/2020
Traduzido por jcserracampos
Uma potencial vulnerabilidade de smuggling de requisições HTTP no WEBrick foi reportada. Essa vulnerabilidade recebeu o identificador CVE CVE-2020-25613. Nós recomendamos fortemente que atualize a gem webrick.
Detalhes
WEBrick era muito tolerante contra um cabeçalho Transfer-Encoding inválido. Isso pode levar interpretações inconsistentes entre WEBrick e alguns servidores de proxy HTTP, o que pode poermite que uma pessoa atacante “contrabandeie” uma requisição. Veja CWE-444 em detalhes.
Por favor, atualiaze a gem webrick para a versão 1.6.1 ou superior. Você pode usar gem update webrick para atualizá-la. Se você está usando bundle, por favor, adicione gem "webrick", ">= 1.6.1" ao seu Gemfile.
Versões afetadas
- webrick gem 1.6.0 ou inferior
- versões empacotadas de webrick no ruby 2.7.1 ou inferior
- versões empacotadas de webrick no ruby 2.6.6 ou inferior
- versões empacotadas de webrick no ruby 2.5.8 ou inferior
Créditos
Agradecimentos a piao por ter descoberto este problema.
Histórico
- Originalmente publicado em 2020-09-29 06:30:00 (UTC)