CVE-2019-16254: HTTP response splitting в WEBrick (Додаткове виправлення)

Опублікував mame 01-10-2019
Переклав: Andrii Furmanets

Є вразливість HTTP response splitting в WEBrick, включеному в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2019-16254.

Деталі

Якщо програма, яка використовує WEBrick, вставляє ненадійний ввід у заголовок відповіді, зловмисник може використати це для вставки символу нового рядка, щоб розділити заголовок, та ін’єктувати зловмисний контент, щоб обдурити клієнтів.

Це та сама проблема, що й CVE-2017-17742. Попереднє виправлення було неповним, яке вирішувало вектор CRLF, але не вирішувало ізольований CR або ізольований LF.

Всі користувачі, які запускають зачеплений випуск, повинні оновитися негайно.

Зачеплені версії

• Всі випуски, які є Ruby 2.3 або раніше
• Серія Ruby 2.4: Ruby 2.4.7 або раніше
• Серія Ruby 2.5: Ruby 2.5.6 або раніше
• Серія Ruby 2.6: Ruby 2.6.4 або раніше
• Ruby 2.7.0-preview1
• до коміту master 3ce238b5f9795581eb84114dcfbdf4aa086bfecc

Подяка

Дякую znz за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2019-10-01 11:00:00 (UTC)