CVE-2019-16254: Pemisahan respons HTTP pada WEBrick (Perbaikan tambahan)

Ditulis oleh mame tanggal 2019-10-01
Diterjemahkan oleh meisyal

Ada sebuah kerentanan pemisahan respons HTTP pada WEBrick yang dibundel dengan Ruby. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2019-16254.

Detail

Jika sebuah program menggunakan WEBrick memasukkan data yang tidak bisa dipercaya ke dalam respons header, seorang penyerang dapat memanfaatkan ini untuk memasukkan karakter newline agar header terpisah dan memasukkan data yang berbahaya untuk mengelabuhi client.

Kerentanan ini sama dengan CVE-2017-17742. Perbaikan sebelumnya belum lengkap, yang mana merujuk kepada CRLF vector, bukan CR atau LF yang terisolasi.

Semua pengguna yang terimbas dengan rilis ini seharusnya memperbarui segera.

Versi Terimbas

Semua rilis Ruby 2.3 atau sebelumnya
Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
Ruby 2.7.0-preview1
sebelum master commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc

Rujukan

Terima kasih kepada znz yang telah menemukan masalah ini.

Riwayat

Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)

Ruby

Sahabat Terbaik Programmer

CVE-2019-16254: Pemisahan respons HTTP pada WEBrick (Perbaikan tambahan)

Detail

Versi Terimbas

Rujukan

Riwayat

Berita Baru

Sindikasi Web