CVE-2020-25613: Potensi Kerentanan HTTP Request Smuggling pada WEBrick

Sebuah potensi kerentanan HTTP request smuggling pada WEBrick telah dilaporkan. Kerentanan ini ditetapkan sebagai penanda CVE CVE-2020-25613. Kami sangat merekomendasikan Anda untuk memperbarui webrick gem.

Detail

WEBrick sangat toleran terhadap sebuah Transfer-Encoding header yang tidak valid. Hal ini bisa menyebabkan interpretasi yang tidak konsisten antara WEBrick dan beberapa HTTP proxy server, yang memperbolehkan penyerang untuk “smuggle” sebuah request. Lihat CWE-444 untuk lebih detail.

Mohon perbarui webrick gem ke versi 1.6.1 atau setelahnya. Anda dapat menggunakan gem update webrick untuk memperbarui. Jika Anda menggunakan bundler, tambahkan gem "webrick", ">= 1.6.1" pada Gemfile Anda.

Versi terimbas

  • webrick gem 1.6.0 atau sebelumnya
  • versi webrick yang di-bundle Ruby 2.7.1 atau sebelumnya
  • versi webrick yang di-bundle Ruby 2.6.6 atau sebelumnya
  • versi webrick yang di-bundle Ruby 2.5.8 atau sebelumnya

Rujukan

Terima kasih kepada piao yang telah menemukan masalah ini.

Riwayat

  • Semula dipublikasikan pada 2020-09-29 06:30:00 (UTC)