CVE-2020-25613: WEBrick 内の潜在的な HTTP リクエストスマグリングの脆弱性について
Posted by mame on 29 Sep 2020
Translated by jinroq
WEBrick 内で潜在的な HTTP リクエストスマグリングの脆弱性が発見されました。 この脆弱性は CVE-2020-25613 として登録されています。 webrick gem をアップグレードすることを強く推奨します。
詳細
WEBrick は、無効な Transfer-Encoding ヘッダーに対して寛容すぎました。 これは WEBrick と一部の HTTP プロキシサーバー間で一貫性のない解釈が発生し、攻撃者が HTTP リクエストを“スマグリング(smuggle)”する可能性があります。 詳細は CWE-444 を参照してください。
webric gem を 1.6.1 以降に更新してください。
gem update webrick を実行すれば更新できます。
bundler を使用している場合は、Gemfile に gem "webrick", ">= 1.6.1" を追加してください。
影響を受けるバージョン
- webrick gem 1.6.0 以前
- Ruby 2.7.1 以前のバージョンでバンドルされた webrick
- Ruby 2.6.6 以前のバージョンでバンドルされた webrick
- Ruby 2.5.8 以前のバージョンでバンドルされた webrick
クレジット
この脆弱性情報は piao 氏によって報告されました。
更新履歴
- 2020-09-29 15:30:00 (JST) 初版
最近のニュース
Ruby 4.0.2 リリース
Ruby 4.0.2 がリリースされました。
Posted by k0kubun on 16 Mar 2026
Ruby 3.4.9 リリース
Ruby 3.4.9 がリリースされました。
Posted by nagachika on 11 Mar 2026
関西Ruby会議09の参加登録が開始されました
日本Rubyの会が後援する、地域Ruby会議(RegionalRubyKaigi)の1つである関西Ruby会議09の参加登録が開始されました。
Posted by Yudai Takada(@ydah) on 3 Mar 2026
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025