CVE-2020-25613:WEBrick 中潜在的 HTTP 请求走私漏洞

报告了 WEBrick 中潜在的 HTTP 请求走私漏洞。此漏洞已被分配 CVE 标识符 CVE-2020-25613。 我们强烈建议升级 webrick gem。

详情

WEBrick 对无效的 Transfer-Encoding 标头过于宽容。 这可能导致 WEBrick 和某些 HTTP 代理服务器之间的解释不一致,从而可能允许攻击者“走私”请求。 有关详细信息,请参阅 CWE-444

请将 webrick gem 更新到 1.6.1 或更高版本。 您可以使用 gem update webrick 来更新它。 如果您正在使用 bundler,请将 gem "webrick", ">= 1.6.1" 添加到您的 Gemfile 中。

受影响的版本

  • webrick gem 1.6.0 或更早版本
  • ruby 2.7.1 或更早版本中捆绑的 webrick 版本
  • ruby 2.6.6 或更早版本中捆绑的 webrick 版本
  • ruby 2.5.8 或更早版本中捆绑的 webrick 版本

鸣谢

感谢 piao 发现此问题。

历史

  • 最初发布于 2020-09-29 06:30:00 (UTC)