Опубликовал mame 01-10-2019
Перевел: shprotru
Существует уязвимость разделения ответа HTTP в WEBrick из комплекта поставки Ruby. Этой уязвимости присвоен идентификатор CVE-2019-16254.
Подробности
Если программа, использующая WEBrick, допускает недоверенный ввод в заголовке ответа, злоумышленник может использовать его для вставки символа новой строки, чтобы разделить заголовок, и вводить вредоносное содержимое для обмана клиентов.
Это та же проблема, что и CVE-2017-17742. Предыдущее исправление было неполным, оно касалось только вектора CRLF, но не касалось изолирования CR или изолирования LF.
Все пользователи, работающие на уязвимом выпуске, должны немедленно обновиться.
Уязвимые версии
- Все выпуски Ruby 2.3 и меньше
- Серия Ruby 2.4: Ruby 2.4.7 и меньше
- Серия Ruby 2.5: Ruby 2.5.6 и меньше
- Серия Ruby 2.6: Ruby 2.6.4 и меньше
- Ruby 2.7.0-preview1
- до мастер-коммита 3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Благодарности
Спасибо znz за обнаружение этой уязвимости.
История
- Первоначально опубликовано в 2019-10-01 11:00:00 (UTC)