CVE-2020-25613: Потенциальная уязвимость скрытого HTTP запроса в WEBrick

Опубликовал mame 29-09-2020
Перевел: nakilon

Объявлено о потенциальной уязвимости скрытого HTTP запроса в WEBrick. Этой уязвимости присвоен идентификатор CVE CVE-2020-25613. Мы строго рекомендуем обновить гем webrick.

Подробности

WEBrick был слишком простителен по отношению к невалидному заголовку Transfer-Encoding. Это могло привести к несовпадению интерпретаций между WEBrick и некоторыми HTTP прокси серверами, что могло позволить злоумышленнику выполнить “скрытый” запрос. См. CWE-444.

Пожалуйста, обновите гем webrick до версии 1.6.1 или выше. Вы можете это сделать командой gem update webrick. Если вы используете bundler, добавьте gem "webrick", ">= 1.6.1" в ваш Gemfile.

Уязвимые версии

• гем webrick 1.6.0 и ниже
• поставляемые версии webrick-а с Ruby 2.7.1 и ниже
• поставляемые версии webrick-а с Ruby 2.6.6 и ниже
• поставляемые версии webrick-а с Ruby 2.5.8 и ниже

Авторство

Благодарим piao за обнаружение проблемы.

История

• Изначально опубликовано в 2020-09-29 06:30:00 (UTC)