CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)
작성자: mame (2019-10-01)
번역자: yous
루비에 포함된 WEBrick에 HTTP 응답 분할 취약점이 있습니다. 이 취약점은 CVE 아이디 CVE-2019-16254가 할당되었습니다.
세부 내용
WEBrick을 사용하는 프로그램이 응답 헤더에 신뢰할 수 없는 입력을 삽입한다면, 공격자가 줄바꿈 문자를 넣어 헤더를 분할하고, 악의적인 내용을 주입해 클라이언트를 속일 수 있습니다.
이 문제는 CVE-2017-17742와 동일합니다. 이전 수정은 CRLF 벡터에 대해 대응했지만 따로 떨어진 CR과 LF에 대해서는 대응하지 않았습니다.
해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
해당 버전
- 루비 2.3 이하의 모든 버전
- 루비 2.4 버전대: 루비 2.4.7 이하
- 루비 2.5 버전대: 루비 2.5.6 이하
- 루비 2.6 버전대: 루비 2.6.4 이하
- 루비 2.7.0-preview1
- 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 커밋 이전의 master
감사의 글
이 문제를 발견해 준 znz에게 감사를 표합니다.
수정 이력
- 2019-10-01 11:00:00 (UTC) 최초 공개
최근 소식
Ruby 3.3.10 릴리스
Ruby 3.3.10이 릴리스되었습니다.
작성자: nagachika (2025-10-23)
RubyGems 저장소 소유권 이관
Ruby 커뮤니티 여러분께,
작성자: matz (2025-10-17)
Ruby 3.4.7 릴리스
Ruby 3.4.7이 릴리스되었습니다.
작성자: k0kubun (2025-10-07)
Ruby 3.4.6 릴리스
Ruby 3.4.6이 릴리스되었습니다.
작성자: k0kubun (2025-09-16)