CVE-2019-16254: Separación de respuesta HTTP en WEBrick (Corrección adicional)
Publicado por mame el 2019-10-01
Traducción de vtamara
Hay una vulnerabilidad de separación de respuesta HTTP en el WEBrick incluido con Ruby. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2019-16254.
Detalles
Si un programa que use WEBrick inserta datos de entrada con confiables en las cabeceras de la respuesta HTTP, un atacante puede explotarlo para inserta un caracter de nueva línea para dividir el encabezado, e insertar contenido maliciosos que engañe a los clientes.
Este es el mismo incidente CVE-2017-17742. La corrección anterior estaba incompleta, porque tenía en cuenta el vector CRLF, pero no tenía en cuenta un CR aislado o un LF aislado.
Todos los usuarios que ejecuten una versión afectada debe actualizar de inmediato.
Versiones afectadas
- Todas las versiones de la serie Ruby 2.3 o anteriores
- Serie Ruby 2.4: Ruby 2.4.7 o anterior
- Serie Ruby 2.5: Ruby 2.5.6 o anterior
- Serie Ruby 2.6: Ruby 2.6.4 o anterior
- Ruby 2.7.0-preview1
- Rama master antes de la contribución 3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Agradecimientos
Gracias a znz por descubrir el problema.
Historia
- Publicado en inglés originalmente el 2019-10-01 11:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23