由 mame 于 2020 年 9 月 29 日发布
报告了 WEBrick 中潜在的 HTTP 请求走私漏洞。此漏洞已被分配 CVE 标识符 CVE-2020-25613。 我们强烈建议升级 webrick gem。
详情
WEBrick 对无效的 Transfer-Encoding 标头过于宽容。 这可能导致 WEBrick 和某些 HTTP 代理服务器之间的解释不一致,从而可能允许攻击者“走私”请求。 有关详细信息,请参阅 CWE-444。
请将 webrick gem 更新到 1.6.1 或更高版本。 您可以使用 gem update webrick
来更新它。 如果您正在使用 bundler,请将 gem "webrick", ">= 1.6.1"
添加到您的 Gemfile
中。
受影响的版本
- webrick gem 1.6.0 或更早版本
- ruby 2.7.1 或更早版本中捆绑的 webrick 版本
- ruby 2.6.6 或更早版本中捆绑的 webrick 版本
- ruby 2.5.8 或更早版本中捆绑的 webrick 版本
鸣谢
感谢 piao 发现此问题。
历史
- 最初发布于 2020-09-29 06:30:00 (UTC)