작성자: mame (2022-11-22)
번역자: shia
HTTP 응답 분할 취약점에 대한 보안 수정을 포함하는 cgi gem 버전 0.3.5, 0.2.2, 0.1.0.2를 릴리스했습니다. 이 취약점은 CVE 번호 CVE-2021-33621로 등록되어 있습니다.
세부 내용
애플리케이션이 cgi gem을 사용해서 신뢰할 수 없는 사용자 입력으로부터 HTTP 응답을 생성할 때, 공격자는 악의 있는 HTTP 헤더, 본문을 삽입할 수 있습니다.
또한, CGI::Cookie 객체의 내용이 올바른지 제대로 검사되지 않았습니다. 애플리케이션이 사용자 입력으로부터 CGI::Cookie 객체를 생성할 때, 공격자는 Set-Cookie 헤더에 유효하지 않은 속성을 주입할 수 있습니다. 이러한 애플리케이션은 일반적이지 않습니다만, 예방 차원에서 CGI::Cookie#initialize가 인수를 검사하도록 변경했습니다.
cgi gem의 버전을 0.3.5, 0.2.2, 0.1.0.2 또는 그 이상의 버전으로 갱신해 주세요. gem update cgi 명령으로 갱신할 수 있습니다.
Bundler를 사용하고 있다면, Gemfile에 gem "cgi", ">= 0.3.5"를 추가해 주세요.
해당 버전
- cgi gem 0.3.3 이하
- cgi gem 0.2.1 이하
- cgi gem 0.1.1, 0.1.0.1, 0.1.0
도움을 준 사람
이 문제를 발견해 준 Hiroshi Tokumaru에게 감사를 표합니다.
수정 이력
- 2022-11-22 02:00:00 (UTC) 최초 공개