CVE-2017-10784:WEBrick 基本身份验证中的转义序列注入漏洞

Ruby 捆绑的 WEBrick 基本身份验证中存在转义序列注入漏洞。此漏洞已被分配 CVE 标识符 CVE-2017-10784

详细信息

当使用 WEBrick 的基本身份验证时,客户端可以传递任意字符串作为用户名。WEBrick 将传递的用户名原封不动地输出到其日志中,因此攻击者可以将恶意转义序列注入到日志中,并且危险的控制字符可能会在受害者的终端仿真器上执行。

此漏洞类似于一个已经修复的漏洞,但它尚未在基本身份验证中修复。

所有运行受影响版本的用户都应立即升级。

受影响版本

  • Ruby 2.2 系列:2.2.7 及更早版本
  • Ruby 2.3 系列:2.3.4 及更早版本
  • Ruby 2.4 系列:2.4.1 及更早版本
  • trunk 修订版 58453 之前的版本

鸣谢

感谢 Yusuke Endoh [email protected] 报告此问题。

历史记录

  • 最初发布于 2017-09-14 12:00:00 (UTC)