CVE-2020-25613: WEBrick의 잠재적인 HTTP 요청 스머글링 취약점

WEBrick에서 잠재적인 HTTP 요청 스머글링 취약점이 보고되었습니다. 이 취약점에 CVE-2020-25613이 할당되었습니다. webrick 젬을 업그레이드하는 것을 강력히 권장합니다.

세부 내용

WEBrick은 유효하지 않은 Transfer-Encoding 헤더에 너무 관대했습니다. 이는 WEBrick과 몇몇 HTTP 프록시 서버들 사이에서 해석 불일치를 유발해 공격자가 어떤 요청을 몰래 끼워넣을 수 있도록 합니다. 자세한 설명은 CWE-444를 참고하세요.

webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 gem update webrick 명령을 사용하세요. 만약 번들러를 사용하고 있다면 Gemfilegem "webrick", ">= 1.6.1"을 추가하세요.

해당 버전

  • webrick 젬 1.6.0 이하
  • 루비 2.7 버전대: 2.7.1 이하의 루비에 포함된 webrick
  • 루비 2.6 버전대: 2.6.6 이하의 루비에 포함된 webrick
  • 루비 2.5 버전대: 2.5.8 이하의 루비에 포함된 webrick

도움을 준 사람

이 문제를 발견해 준 piao에게 감사를 표합니다.

수정 이력

  • 2020-09-29 06:30:00 (UTC) 최초 공개