Ditulis oleh mame tanggal 2019-10-01
Diterjemahkan oleh meisyal
Ada sebuah kerentanan pemisahan respons HTTP pada WEBrick yang dibundel dengan Ruby. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2019-16254.
Detail
Jika sebuah program menggunakan WEBrick memasukkan data yang tidak bisa dipercaya ke dalam respons header, seorang penyerang dapat memanfaatkan ini untuk memasukkan karakter newline agar header terpisah dan memasukkan data yang berbahaya untuk mengelabuhi client.
Kerentanan ini sama dengan CVE-2017-17742. Perbaikan sebelumnya belum lengkap, yang mana merujuk kepada CRLF vector, bukan CR atau LF yang terisolasi.
Semua pengguna yang terimbas dengan rilis ini seharusnya memperbarui segera.
Versi Terimbas
- Semua rilis Ruby 2.3 atau sebelumnya
- Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
- Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
- Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
- Ruby 2.7.0-preview1
- sebelum master commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Rujukan
Terima kasih kepada znz yang telah menemukan masalah ini.
Riwayat
- Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)