CVE-2019-16254: WEBrick における HTTP レスポンス偽装の脆弱性について（追加の修正）

Posted by mame on 1 Oct 2019

Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2019-16254 として登録されています。

詳細

標準添付ライブラリ WEBrick において、外部からの入力をそのまま HTTP レスポンスの一部として出力するようなスクリプトで利用していた場合、そうした入力中に改行文字を含めることによって、あたかもその HTTP レスポンスがそこで打ち切られたかのように振る舞わせた上で、以降に任意の HTTP レスポンスを出力させることによって、悪意ある内容を利用者に閲覧させることが可能となっていました。

これは CVE-2017-17742 と同じ問題です。以前の修正は不完全で、CRLFは対処していましたが、単独のCRや単独のLFに対処できていませんでした

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

• Ruby 2.3 以前のすべてのリリース
• Ruby 2.4.7 以前のすべての Ruby 2.4 系列
• Ruby 2.5.6 以前のすべての Ruby 2.5 系列
• Ruby 2.6.4 以前のすべての Ruby 2.6 系列
• Ruby 2.7.0-preview1
• commit 3ce238b5f9795581eb84114dcfbdf4aa086bfecc より前の開発版

クレジット

この脆弱性情報は、znz 氏によって報告されました。

更新履歴

• 2019-10-01 20:00:00 (JST) 初版