CVE-2021-33621: CGI 中的 HTTP 响应拆分漏洞

由 mame 于 2022 年 11 月 22 日发布

我们已发布 cgi gem 版本 0.3.5、0.2.2 和 0.1.0.2，其中包含针对 HTTP 响应分割漏洞的安全修复。此漏洞已被分配 CVE 标识符 CVE-2021-33621。

详情

如果一个应用程序使用 cgi 库并依赖不受信任的用户输入来生成 HTTP 响应，攻击者可以利用此漏洞注入恶意的 HTTP 响应头和/或响应体。

此外，CGI::Cookie 对象的 contents 没有得到妥善检查。如果应用程序根据用户输入创建 CGI::Cookie 对象，攻击者可能会利用此漏洞在 Set-Cookie 头部注入无效的属性。我们认为这种情况不太可能发生，但我们已经包含了一项更改，以预防性地检查 CGI::Cookie#initialize 的参数。

请将 cgi 库更新至 0.3.5、0.2.2 和 0.1.0.2 或更高版本。您可以使用 gem update cgi 来更新。如果您正在使用 bundler，请将 gem "cgi", ">= 0.3.5" 添加到您的 Gemfile 中。

受影响的版本

• cgi 库 0.3.3 或更早版本
• cgi 库 0.2.1 或更早版本
• cgi 库 0.1.1 或 0.1.0.1 或 0.1.0

致谢

感谢 Hiroshi Tokumaru 发现此问题。

历史

• 最初发布于 2022-11-22 02:00:00 (UTC)