XSS in WEBrick (CVE-2010-0541)

WEBrick 中有個安全性漏洞. 在 CVE-2010-0541 說明了此安全性漏洞.

CVE-2010-0541

Description

WEBrick 有個 XSS (cross-site scripting) 弱點, 可以讓入侵者經由特製的 URI 來 inject (注入) 任意的 script 或 HTML. 這並不會影響到那些嚴格實作 HTTP/1.1 的 user agents, 但有些 user agents 則會受波及.

受到影響的版本有:

  • Ruby 1.8.6-p399 之前的版本.
  • Ruby 1.8.7-p299 之前的版本.
  • Ruby 1.9.1-p429 之前的版本.
  • Ruby 1.9.2 RC2 之前的版本.
  • Ruby 1.9 的開發版本 (1.9.3dev).

各版本建議更新到以下的最新 patchlevel .

Solutions

  • Fixes for 1.8.6, 1.8.7 and 1.9.1 are to follow this announce.
  • 各開發版本, 請更新到各個分支的最新版本.
  • 你也可以用 patch $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb 的方式來修復安全性弱點. Patch 可在此下載: <URL:https://cache.ruby-lang.org/pub/misc/webrick-cve-2010-0541.diff>. 由 Hirokazu NISHIO 所撰寫.

    SIZE:
    466 bytes
    MD5:
    395585e1aae7ddef842f0d1d9f5e6e07
    SHA256:
    6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567

Credit

此弱點事由 Apple 的 Hideki Yamane 所發現並且向 Ruby security team 通報. *1

更新訊息

  • 更新訊息發表時間 2010-08-16 10:26:03 JST.
  • 1.9.1 patchlevel 430 釋出
  • 1.8.7 patchlevel 301 釋出
  • 1.8.7 patchlevel 302 釋出 因為 pl301 壞掉. 請用此代替.

*1 [ruby-dev:42003]