由 mame 发布于 2022 年 11 月 22 日
我们已发布 cgi gem 版本 0.3.5、0.2.2 和 0.1.0.2,其中包含针对 HTTP 响应拆分漏洞的安全修复程序。此漏洞已分配 CVE 标识符 CVE-2021-33621。
详情
如果应用程序使用 cgi gem 和不受信任的用户输入生成 HTTP 响应,攻击者可以利用它来注入恶意 HTTP 响应头和/或正文。
此外,未正确检查 CGI::Cookie
对象的内容。如果应用程序基于用户输入创建 CGI::Cookie
对象,攻击者可能会利用它在 Set-Cookie
标头中注入无效属性。我们认为这样的应用程序不太可能存在,但我们已包含一项更改,以预防性地检查 CGI::Cookie#initialize
的参数。
请将 cgi gem 更新到 0.3.5、0.2.2 和 0.1.0.2 或更高版本。您可以使用 gem update cgi
来更新它。如果您正在使用 bundler,请将 gem "cgi", ">= 0.3.5"
添加到您的 Gemfile
中。
受影响的版本
- cgi gem 0.3.3 或更早版本
- cgi gem 0.2.1 或更早版本
- cgi gem 0.1.1 或 0.1.0.1 或 0.1.0
鸣谢
感谢 Hiroshi Tokumaru 发现此问题。
历史
- 最初发布于 2022-11-22 02:00:00 (UTC)