由 mame 于 2019 年 10 月 1 日发布
Ruby 捆绑的 WEBrick 中存在一个 HTTP 响应拆分漏洞。此漏洞已被分配 CVE 标识符 CVE-2019-16254。
详细信息
如果使用 WEBrick 的程序将不受信任的输入插入到响应头中,攻击者可以利用它插入换行符来拆分标头,并注入恶意内容来欺骗客户端。
这与 CVE-2017-17742 是相同的问题。之前的修复不完整,它解决了 CRLF 向量,但没有解决单独的 CR 或单独的 LF。
所有运行受影响版本的用户应立即升级。
受影响的版本
- 所有 Ruby 2.3 或更早的版本
- Ruby 2.4 系列:Ruby 2.4.7 或更早版本
- Ruby 2.5 系列:Ruby 2.5.6 或更早版本
- Ruby 2.6 系列:Ruby 2.6.4 或更早版本
- Ruby 2.7.0-preview1
- 在 master commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 之前
鸣谢
感谢 znz 发现此问题。
历史记录
- 最初发布于 2019-10-01 11:00:00 (UTC)