CVE-2020-25613: WEBrick 内の潜在的な HTTP リクエストスマグリングの脆弱性について
Posted by mame on 29 Sep 2020
Translated by jinroq
WEBrick 内で潜在的な HTTP リクエストスマグリングの脆弱性が発見されました。 この脆弱性は CVE-2020-25613 として登録されています。 webrick gem をアップグレードすることを強く推奨します。
詳細
WEBrick は、無効な Transfer-Encoding ヘッダーに対して寛容すぎました。 これは WEBrick と一部の HTTP プロキシサーバー間で一貫性のない解釈が発生し、攻撃者が HTTP リクエストを“スマグリング(smuggle)”する可能性があります。 詳細は CWE-444 を参照してください。
webric gem を 1.6.1 以降に更新してください。
gem update webrick を実行すれば更新できます。
bundler を使用している場合は、Gemfile に gem "webrick", ">= 1.6.1" を追加してください。
影響を受けるバージョン
- webrick gem 1.6.0 以前
- Ruby 2.7.1 以前のバージョンでバンドルされた webrick
- Ruby 2.6.6 以前のバージョンでバンドルされた webrick
- Ruby 2.5.8 以前のバージョンでバンドルされた webrick
クレジット
この脆弱性情報は piao 氏によって報告されました。
更新履歴
- 2020-09-29 15:30:00 (JST) 初版
最近のニュース
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025
サイトのアイデンティティの再設計
サイトの包括的なデザインのアップデートを発表できることを嬉しく思います。今回の更新ではTaeko Akatsukaさんにデザインを担当していただきました。
Posted by Hiroshi SHIBATA on 22 Dec 2025
Ruby 4.0.0 preview3 リリース
Ruby 4.0.0-preview3 が公開されました。
Posted by naruse on 18 Dec 2025
Ruby 4.0.0 preview2 リリース
Ruby 4.0.0-preview2 が公開されました。Ruby 4.0では、Unicodeバージョンの17.0.0へのアップデートなど様々な改善が行われています。
Posted by naruse on 17 Nov 2025