CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse

Posté par mame le 2021-11-24
Traduit par Kevin Rosaz

Une vulnérabilité d’usurpation de préfixes de cookie a été découverte dans CGI::Cookie.parse. Cette vulnérabilité a reçu l’identifiant CVE CVE-2021-41819. Nous vous recommandons fortement de mettre à jour Ruby.

Détails

Les anciennes versions de CGI::Cookie.parse appliquent le décodage d’URL aux noms de cookies. Un attaquant pourrait exploiter cette vulnérabilité pour usurper les préfixes de sécurité dans les noms de cookies, ce qui pourrait tromper une application vulnérable.

Par ce correctif, CGI::Cookie.parse ne décode plus les noms de cookies. Notez qu’il s’agit d’une incompatibilité si les noms de cookies que vous utilisez incluent des caractères non alphanumériques URL encodés.

C’est le même problème que CVE-2020-8184.

Si vous utilisez Ruby 2.7 ou 3.0 :

• Veuillez mettre à jour la gemme cgi vers la version 0.3.1, 0.2.1, 0.1.1 ou ultérieure. Vous pouvez utiliser gem update cgi pour la mettre à jour. Si vous utilisez bundler, veuillez ajouter gem "cgi", ">= 0.3.1" à votre Gemfile.
• Vous pouvez également mettre à jour Ruby vers la version 2.7.5 ou 3.0.3.

Si vous utilisez Ruby 2.6 :

• Veuillez mettre à jour Ruby vers la version 2.6.9. Vous ne pouvez pas utiliser gem update cgi pour Ruby 2.6 ou antérieur.

Versions concernées

• Ruby 2.6.8 ou antérieure (Vous ne pouvez pas utiliser gem update cgi pour cette version.)
• Gemme cgi 0.1.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 2.7 avant la version Ruby 2.7.5)
• Gemme cgi 0.2.0 ou antérieure (qui sont des versions inclusent dans la branche Ruby 3.0 avant la version Ruby 3.0.3)
• Gemme cgi 0.3.0 ou antérieure

Remerciements

Merci à ooooooo_q pour la découverte de ce problème.

Historique

• Paru initialement le 2021-11-24 12:00:00 (UTC)