由 mame 于 2021 年 11 月 24 日发布
在 CGI::Cookie.parse 中发现了一个 cookie 前缀欺骗漏洞。此漏洞已分配 CVE 标识符 CVE-2021-41819。我们强烈建议升级 Ruby。
详情
CGI::Cookie.parse
的旧版本对 cookie 名称应用了 URL 解码。攻击者可以利用此漏洞在 cookie 名称中欺骗安全前缀,这可能会欺骗易受攻击的应用程序。
通过此修复,CGI::Cookie.parse
不再解码 cookie 名称。请注意,如果正在使用的 cookie 名称包含 URL 编码的非字母数字字符,则这是一个不兼容的更改。
这与 CVE-2020-8184 的问题相同。
如果您使用的是 Ruby 2.7 或 3.0
- 请将 cgi gem 更新到 0.3.1、0.2.1 和 0.1.1 或更高版本。您可以使用
gem update cgi
来更新它。如果您使用的是 bundler,请将gem "cgi", ">= 0.3.1"
添加到您的Gemfile
。 - 或者,请将 Ruby 更新到 2.7.5 或 3.0.3。
如果您使用的是 Ruby 2.6
- 请将 Ruby 更新到 2.6.9。对于 Ruby 2.6 或更早版本,您不能使用
gem update cgi
。
受影响的版本
- ruby 2.6.8 或更早版本(此版本您不能使用
gem update cgi
。) - cgi gem 0.1.0 或更早版本(这些是与 Ruby 2.7 系列捆绑的版本,早于 Ruby 2.7.5)
- cgi gem 0.2.0 或更早版本(这些是与 Ruby 3.0 系列捆绑的版本,早于 Ruby 3.0.3)
- cgi gem 0.3.0 或更早版本
鸣谢
感谢 ooooooo_q 发现此问题。
历史
- 最初发布于 2021-11-24 12:00:00 (UTC)