CVE-2019-16254: Pemisahan respons HTTP pada WEBrick (Perbaikan tambahan)
Ditulis oleh mame tanggal 2019-10-01
Diterjemahkan oleh meisyal
Ada sebuah kerentanan pemisahan respons HTTP pada WEBrick yang dibundel dengan Ruby. Kerentanan ini telah ditetapkan dengan penanda CVE CVE-2019-16254.
Detail
Jika sebuah program menggunakan WEBrick memasukkan data yang tidak bisa dipercaya ke dalam respons header, seorang penyerang dapat memanfaatkan ini untuk memasukkan karakter newline agar header terpisah dan memasukkan data yang berbahaya untuk mengelabuhi client.
Kerentanan ini sama dengan CVE-2017-17742. Perbaikan sebelumnya belum lengkap, yang mana merujuk kepada CRLF vector, bukan CR atau LF yang terisolasi.
Semua pengguna yang terimbas dengan rilis ini seharusnya memperbarui segera.
Versi Terimbas
- Semua rilis Ruby 2.3 atau sebelumnya
- Rangkaian Ruby 2.4: Ruby 2.4.7 atau sebelumnya
- Rangkaian Ruby 2.5: Ruby 2.5.6 atau sebelumnya
- Rangkaian Ruby 2.6: Ruby 2.6.4 atau sebelumnya
- Ruby 2.7.0-preview1
- sebelum master commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc
Rujukan
Terima kasih kepada znz yang telah menemukan masalah ini.
Riwayat
- Semula dipublikasikan pada 2019-10-01 11:00:00 (UTC)
Berita Baru
Ruby 3.3.0-preview3 Dirilis
Kami dengan senang hati mengumumkan rilis dari Ruby 3.3.0-preview3. Ruby 3.3 menambahkan sebuah parser baru yang bernama Prism, menggunakan Lrama sebagai parser generator, menambahkan pure-Ruby...
Ditulis oleh naruse tanggal 2023-11-12
Ruby 3.3.0-preview2 Dirilis
Ditulis oleh naruse tanggal 2023-09-14
Ruby 3.3.0-preview1 Dirilis
Ditulis oleh naruse tanggal 2023-05-12
Ruby 3.2.2 Dirilis
Ruby 3.2.2 telah dirilis.
Ditulis oleh naruse tanggal 2023-03-30