CVE-2019-16254: Разделение HTTP-ответа в WEBrick (Дополняющее исправление)

Существует уязвимость разделения ответа HTTP в WEBrick из комплекта поставки Ruby. Этой уязвимости присвоен идентификатор CVE-2019-16254.

Подробности

Если программа, использующая WEBrick, допускает недоверенный ввод в заголовке ответа, злоумышленник может использовать его для вставки символа новой строки, чтобы разделить заголовок, и вводить вредоносное содержимое для обмана клиентов.

Это та же проблема, что и CVE-2017-17742. Предыдущее исправление было неполным, оно касалось только вектора CRLF, но не касалось изолирования CR или изолирования LF.

Все пользователи, работающие на уязвимом выпуске, должны немедленно обновиться.

Уязвимые версии

  • Все выпуски Ruby 2.3 и меньше
  • Серия Ruby 2.4: Ruby 2.4.7 и меньше
  • Серия Ruby 2.5: Ruby 2.5.6 и меньше
  • Серия Ruby 2.6: Ruby 2.6.4 и меньше
  • Ruby 2.7.0-preview1
  • до мастер-коммита 3ce238b5f9795581eb84114dcfbdf4aa086bfecc

Благодарности

Спасибо znz за обнаружение этой уязвимости.

История

  • Первоначально опубликовано в 2019-10-01 11:00:00 (UTC)