CVE-2019-16254:WEBrick 中的 HTTP 响应拆分(附加修复)

Ruby 捆绑的 WEBrick 中存在一个 HTTP 响应拆分漏洞。此漏洞已被分配 CVE 标识符 CVE-2019-16254

详细信息

如果使用 WEBrick 的程序将不受信任的输入插入到响应头中,攻击者可以利用它插入换行符来拆分标头,并注入恶意内容来欺骗客户端。

这与 CVE-2017-17742 是相同的问题。之前的修复不完整,它解决了 CRLF 向量,但没有解决单独的 CR 或单独的 LF。

所有运行受影响版本的用户应立即升级。

受影响的版本

  • 所有 Ruby 2.3 或更早的版本
  • Ruby 2.4 系列:Ruby 2.4.7 或更早版本
  • Ruby 2.5 系列:Ruby 2.5.6 或更早版本
  • Ruby 2.6 系列:Ruby 2.6.4 或更早版本
  • Ruby 2.7.0-preview1
  • 在 master commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 之前

鸣谢

感谢 znz 发现此问题。

历史记录

  • 最初发布于 2019-10-01 11:00:00 (UTC)