WEBrick 中的 XSS 漏洞 (CVE-2010-0541)

WEBrick 上可能存在的安全漏洞。此漏洞已被报告为 CVE-2010-0541

CVE-2010-0541

描述

WEBrick 存在跨站脚本漏洞,攻击者可以通过精心构造的 URI 注入任意脚本或 HTML。这不会影响严格执行 HTTP/1.1 的用户代理,但是,某些用户代理不会这样做。

受影响的版本有

  • Ruby 1.8.6-p399 或任何更早的版本。
  • Ruby 1.8.7-p299 或任何更早的版本。
  • Ruby 1.9.1-p429 或任何更早的版本。
  • Ruby 1.9.2 RC2 或任何更早的版本。
  • Ruby 1.9 的开发版本 (1.9.3dev)。

我们建议您将 Ruby 升级到最新的补丁级别版本。

解决方案

  • 1.8.6、1.8.7 和 1.9.1 的修复程序将在此公告之后发布。
  • 对于开发版本,请更新到每个开发分支的最新修订版本。
  • 您还可以通过将补丁应用到 $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb 来修复此漏洞。该补丁可在 <URL:https://cache.ruby-lang.org/pub/misc/webrick-cve-2010-0541.diff> 找到。它由西尾博一编写。

    大小
    466 字节
    MD5
    395585e1aae7ddef842f0d1d9f5e6e07
    SHA256
    6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567

贡献

此漏洞由 Apple 发现,并由山根秀树报告给 Ruby 安全团队。*1

更新

  • 最初发布于 2010-08-16 10:26:03 JST。
  • 1.9.1 补丁级别 430 已发布
  • 1.8.7 补丁级别 301 已发布
  • 1.8.7 补丁级别 302 已发布,因为 pl301 已损坏。请改用它。

*1 [ruby-dev:42003]