CVE-2017-10784: Vulnerabilidade de injeção de sequência de escape na autenticação Basic de WEBrick
Escrito por usa em 14/09/2017
Traduzido por jcserracampos
Existe uma vulnerabilidade de injeção de sequência de escape na autenticação Basic do WEBrick empacotado com Ruby. Essa vulnerabilidade foi assinada com o identificador CVE CVE-2017-10784.
Detalhes
Quando usando autenticação Basic do WEBrick, clientes podem passar strings arbitrárias como nome de usuário. WEBrick produz saídas com o nome de usuário intacto no log, então o atacante pode injetar sequências de escape maliciosas para o log e control characters perigosos podem ser executados no emulador de terminal da vítima.
Essa vulnerabilidade é similar a uma vulnerabilidade já corrigida (Em inglês), mas isso não foi corrigido na autenticação Basic.
Todos os usuários rodando uma versão com essa vulnerabilidade devem atualizá-la imediatamente.
Versões Afetadas
- Série Ruby 2.2: 2.2.7 e anteriores
- Série Ruby 2.3: 2.3.4 e anteriores
- Série Ruby 2.4: 2.4.1 e anteriores
- anterior à revisão de árvore 58453
Créditos
Obrigado Yusuke Endoh mame@ruby-lang.org por reportar este problema.
History
- Originalmente publicado em 14 de setembro de 2017 12:00:00 (UTC)
Notícias Recentes
Ruby 3.4.2 Lançado
Ruby 3.4.2 foi lançado.
Escrito por k0kubun em 14/02/2025
Ruby 3.2.7 Lançado
Ruby 3.2.7 foi lançado.
Escrito por nagachika em 04/02/2025
Ruby 3.3.7 Lançado
Ruby 3.3.7 foi lançado.
Escrito por k0kubun em 15/01/2025
Ruby 3.4.1 Lançado
Ruby 3.4.1 foi lançado.
Escrito por naruse em 25/12/2024