CVE-2020-25613: WEBrick potencialmente vulnerable a contrabando de solicitudes HTTP
Publicado por mame el 2020-09-29
Traducción de vtamara
Se reportó una potencial vulnerabilidad en WEBrick a contrabando de solicitudes HTTP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2020-25613. Recomendamos enfáticamente actualizar la gema webrick.
Detalles
WEBrick era demasiado tolerante a encabezados Transfer-Encoding inválidos. Esto puede conducir a interpretaciones inconsistentes entre WEBrick y algunos servidores proxy HTTP, que podría permitir a un atacante “contrabandear” una solicitud. Ver en detalle CWE-444.
Por favor actualice la gema webrick a la versión 1.6.1 o posterior.
Puede usar gem update webrick para actualizarla. Si está usando
bunler, por favor añada o actualice gem "webrick", ">= 1.6.1" a su
Gemfile.
Versiones afectadas
- gema webrick 1.6.0 o anteriores
- versiones incorporadas de webrick en ruby 2.7.1 o anteriores
- versiones incorporadas de webrick en ruby 2.6.6 o anteriores
- versiones incorporadas de webrick en ruby 2.5.8 o anteriores
Créditos
Agradecemos a piao por descubrir este problema.
Historia
- Publicado originalmente el 2020-09-29 06:30:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23