CVE-2020-25613: Sicherheitslücke: Schmuggeln von Requests in WEBrick möglich
Geschrieben von mame am 29.9.2020
Übersetzt von Marvin Gülker
Es wurde eine Sicherheitslücke in WEBrick entdeckt, die das Durchschmuggeln von HTTP-Requests ermöglichen könnte. Dieser Schwachstelle wurde die CVE-Nummer CVE-2020-25613 zugewiesen. Wir empfehlen mit Nachdruck, das Webrick-Gem zu aktualisieren.
Details
WEBrick ist zu nachsichtig mit fehlerhaften Transfer-Encoding-Kopfzeilen umgegangen. Das kann zu einer uneinheitlichen Interpretation zwischen WEBrick und einigen HTTP-Proxy-Servern führen, die es Angreifern möglicherweise erlaubt, ein Request zu „schmuggeln“. Siehe CWE-444 für Details.
Bitte aktualisieren Sie das Webrick-Gem auf Version 1.6.1 oder später.
Dazu können Sie gem update webrick benutzen. Wenn Sie Bundler
verwenden, fügen Sie gem "webrick", ">= 1.6.1" zur Gemfile hinzu.
Betroffene Versionen
- webrick-Gem 1.6.0 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.7.1 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.6.6 oder früher
- Mitgelieferte Versionen von Webrick in ruby 2.5.8 oder früher
Danksagung
Dank an piao für die Entdeckung des Problems.
Historie
- Erstmals veröffentlicht am 2020-09-29 06:30:00 (UTC)
Aktuelle Neuigkeiten
Ruby 3.4.2 veröffentlicht
Ruby 3.4.2 wurde veröffentlicht.
Geschrieben von k0kubun am 14.2.2025
Ruby 3.2.7 veröffentlicht
Ruby 3.2.7 wurde veröffentlicht.
Geschrieben von nagachika am 4.2.2025
Ruby 3.3.7 veröffentlicht
Ruby 3.3.7 wurde veröffentlicht.
Geschrieben von k0kubun am 15.1.2025
Ruby 3.4.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 3.4.0 bekannt zu geben. Ruby 3.4 führt den it-Blockparameter ein, ändert Prism zum Standardparser, bietet Happy Eyeballs Version...
Geschrieben von naruse am 25.12.2024