CVE-2020-25613: Potencial Vulnerabilidade de Smuggling de Requisições HTTP no WEBrick
Escrito por mame em 29/09/2020
Traduzido por jcserracampos
Uma potencial vulnerabilidade de smuggling de requisições HTTP no WEBrick foi reportada. Essa vulnerabilidade recebeu o identificador CVE CVE-2020-25613. Nós recomendamos fortemente que atualize a gem webrick.
Detalhes
WEBrick era muito tolerante contra um cabeçalho Transfer-Encoding inválido. Isso pode levar interpretações inconsistentes entre WEBrick e alguns servidores de proxy HTTP, o que pode poermite que uma pessoa atacante “contrabandeie” uma requisição. Veja CWE-444 em detalhes.
Por favor, atualiaze a gem webrick para a versão 1.6.1 ou superior. Você pode usar gem update webrick para atualizá-la. Se você está usando bundle, por favor, adicione gem "webrick", ">= 1.6.1" ao seu Gemfile.
Versões afetadas
- webrick gem 1.6.0 ou inferior
- versões empacotadas de webrick no ruby 2.7.1 ou inferior
- versões empacotadas de webrick no ruby 2.6.6 ou inferior
- versões empacotadas de webrick no ruby 2.5.8 ou inferior
Créditos
Agradecimentos a piao por ter descoberto este problema.
Histórico
- Originalmente publicado em 2020-09-29 06:30:00 (UTC)
Notícias Recentes
Ruby 3.4.2 Lançado
Ruby 3.4.2 foi lançado.
Escrito por k0kubun em 14/02/2025
Ruby 3.2.7 Lançado
Ruby 3.2.7 foi lançado.
Escrito por nagachika em 04/02/2025
Ruby 3.3.7 Lançado
Ruby 3.3.7 foi lançado.
Escrito por k0kubun em 15/01/2025
Ruby 3.4.1 Lançado
Ruby 3.4.1 foi lançado.
Escrito por naruse em 25/12/2024