CVE-2017-17742: HTTP-Antwortveränderung in WEBrick
Geschrieben von usa am 28.3.2018
Übersetzt von Marvin Gülker
In dem in Ruby enthaltenen WEBrick ist eine Sicherheitslücke entdeckt worden, die zur Veränderung von HTTP-Antworten genutzt werden kann. Man hat dieser Sicherheitslücke die CVE-Nummer CVE-2017-17742 zugewiesen.
Details
Wenn ein Skript externe Eingaben annimmt und ohne Veränderung als Teil einer HTTP-Antwort weitergibt, kann ein Angreifer Zeilenumbrüche einfügen, die die Clients glauben machen, dass die HTTP-Kopfzeilen der Antwort an dieser Stelle zu Ende seien. Nach den Zeilenumbrüchen kann er gefälschte HTTP-Antworten einfügen, um den Clients beliebige Inhalte zuzuführen.
Alle Nutzer betroffener Versionen sollten umgehend aktualisieren.
Betroffene Versionen
- Ruby 2.2er-Serie: 2.2.9 und früher
- Ruby 2.3er-Serie: 2.3.6 und früher
- Ruby 2.4er-Serie: 2.4.3 und früher
- Ruby 2.5er-Serie: 2.5.0 und früher
- Ruby 2.6er-Serie: 2.6.0-preview1
- Trunk vor Revision r62968
Danksagung
Dank an Aaron Patterson tenderlove@ruby-lang.org für die Meldung des Problems.
Historie
- Erstveröffentlicht am 2018-03-28 14:00:00 (UTC)
Aktuelle Neuigkeiten
Ruby 3.4.2 veröffentlicht
Ruby 3.4.2 wurde veröffentlicht.
Geschrieben von k0kubun am 14.2.2025
Ruby 3.2.7 veröffentlicht
Ruby 3.2.7 wurde veröffentlicht.
Geschrieben von nagachika am 4.2.2025
Ruby 3.3.7 veröffentlicht
Ruby 3.3.7 wurde veröffentlicht.
Geschrieben von k0kubun am 15.1.2025
Ruby 3.4.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 3.4.0 bekannt zu geben. Ruby 3.4 führt den it-Blockparameter ein, ändert Prism zum Standardparser, bietet Happy Eyeballs Version...
Geschrieben von naruse am 25.12.2024