CVE-2020-25613: WEBrick 中潜在的 HTTP 请求走私漏洞

由 mame 发布于 2020 年 9 月 29 日

WEBrick 中发现了一个潜在的 HTTP 请求走私漏洞。该漏洞已被分配 CVE 标识符 CVE-2020-25613。我们强烈建议升级 webrick gem。

详情

WEBrick 对无效的 Transfer-Encoding 头部过于宽容。这可能导致 WEBrick 和某些 HTTP 代理服务器之间的解释不一致，从而允许攻击者“走私”请求。详情请参阅 CWE-444。

请将 webrick gem 更新至 1.6.1 或更高版本。您可以使用 gem update webrick 进行更新。如果您使用的是 bundler，请在您的 Gemfile 中添加 gem "webrick", ">= 1.6.1"。

受影响的版本

• webrick gem 1.6.0 或更早版本
• ruby 2.7.1 或更早版本中 bundled 的 webrick 版本
• ruby 2.6.6 或更早版本中 bundled 的 webrick 版本
• ruby 2.5.8 或更早版本中 bundled 的 webrick 版本

致谢

感谢 piao 发现此问题。

历史

• 首次发布于 2020-09-29 06:30:00 (UTC)