Опубликовал mame 29-09-2020
Перевел: nakilon
Объявлено о потенциальной уязвимости скрытого HTTP запроса в WEBrick. Этой уязвимости присвоен идентификатор CVE CVE-2020-25613. Мы строго рекомендуем обновить гем webrick.
Подробности
WEBrick был слишком простителен по отношению к невалидному заголовку Transfer-Encoding. Это могло привести к несовпадению интерпретаций между WEBrick и некоторыми HTTP прокси серверами, что могло позволить злоумышленнику выполнить “скрытый” запрос. См. CWE-444.
Пожалуйста, обновите гем webrick до версии 1.6.1 или выше. Вы можете это сделать командой gem update webrick. Если вы используете bundler, добавьте gem "webrick", ">= 1.6.1" в ваш Gemfile.
Уязвимые версии
- гем webrick 1.6.0 и ниже
- поставляемые версии webrick-а с Ruby 2.7.1 и ниже
- поставляемые версии webrick-а с Ruby 2.6.6 и ниже
- поставляемые версии webrick-а с Ruby 2.5.8 и ниже
Авторство
Благодарим piao за обнаружение проблемы.
История
- Изначально опубликовано в 2020-09-29 06:30:00 (UTC)