CVE-2019-16254: Разделение HTTP-ответа в WEBrick (Дополняющее исправление)

Опубликовал mame 01-10-2019
Перевел: shprotru

Существует уязвимость разделения ответа HTTP в WEBrick из комплекта поставки Ruby. Этой уязвимости присвоен идентификатор CVE-2019-16254.

Подробности

Если программа, использующая WEBrick, допускает недоверенный ввод в заголовке ответа, злоумышленник может использовать его для вставки символа новой строки, чтобы разделить заголовок, и вводить вредоносное содержимое для обмана клиентов.

Это та же проблема, что и CVE-2017-17742. Предыдущее исправление было неполным, оно касалось только вектора CRLF, но не касалось изолирования CR или изолирования LF.

Все пользователи, работающие на уязвимом выпуске, должны немедленно обновиться.

Уязвимые версии

• Все выпуски Ruby 2.3 и меньше
• Серия Ruby 2.4: Ruby 2.4.7 и меньше
• Серия Ruby 2.5: Ruby 2.5.6 и меньше
• Серия Ruby 2.6: Ruby 2.6.4 и меньше
• Ruby 2.7.0-preview1
• до мастер-коммита 3ce238b5f9795581eb84114dcfbdf4aa086bfecc

Благодарности

Спасибо znz за обнаружение этой уязвимости.

История

• Первоначально опубликовано в 2019-10-01 11:00:00 (UTC)