CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)

작성자: mame (2019-10-01)
번역자: yous

루비에 포함된 WEBrick에 HTTP 응답 분할 취약점이 있습니다. 이 취약점은 CVE 아이디 CVE-2019-16254가 할당되었습니다.

세부 내용

WEBrick을 사용하는 프로그램이 응답 헤더에 신뢰할 수 없는 입력을 삽입한다면, 공격자가 줄바꿈 문자를 넣어 헤더를 분할하고, 악의적인 내용을 주입해 클라이언트를 속일 수 있습니다.

이 문제는 CVE-2017-17742와 동일합니다. 이전 수정은 CRLF 벡터에 대해 대응했지만 따로 떨어진 CR과 LF에 대해서는 대응하지 않았습니다.

해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.

해당 버전

• 루비 2.3 이하의 모든 버전
• 루비 2.4 버전대: 루비 2.4.7 이하
• 루비 2.5 버전대: 루비 2.5.6 이하
• 루비 2.6 버전대: 루비 2.6.4 이하
• 루비 2.7.0-preview1
• 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 커밋 이전의 master

감사의 글

이 문제를 발견해 준 znz에게 감사를 표합니다.

수정 이력

• 2019-10-01 11:00:00 (UTC) 최초 공개