CVE-2021-33621:CGI 中的 HTTP 响应拆分漏洞

我们已发布 cgi gem 版本 0.3.5、0.2.2 和 0.1.0.2,其中包含针对 HTTP 响应拆分漏洞的安全修复程序。此漏洞已分配 CVE 标识符 CVE-2021-33621

详情

如果应用程序使用 cgi gem 和不受信任的用户输入生成 HTTP 响应,攻击者可以利用它来注入恶意 HTTP 响应头和/或正文。

此外,未正确检查 CGI::Cookie 对象的内容。如果应用程序基于用户输入创建 CGI::Cookie 对象,攻击者可能会利用它在 Set-Cookie 标头中注入无效属性。我们认为这样的应用程序不太可能存在,但我们已包含一项更改,以预防性地检查 CGI::Cookie#initialize 的参数。

请将 cgi gem 更新到 0.3.5、0.2.2 和 0.1.0.2 或更高版本。您可以使用 gem update cgi 来更新它。如果您正在使用 bundler,请将 gem "cgi", ">= 0.3.5" 添加到您的 Gemfile 中。

受影响的版本

  • cgi gem 0.3.3 或更早版本
  • cgi gem 0.2.1 或更早版本
  • cgi gem 0.1.1 或 0.1.0.1 或 0.1.0

鸣谢

感谢 Hiroshi Tokumaru 发现此问题。

历史

  • 最初发布于 2022-11-22 02:00:00 (UTC)