CVE-2020-25613: Потенційна вразливість HTTP Request Smuggling в WEBrick

Опублікував mame 29-09-2020
Переклав: Andrii Furmanets

Була повідомлена потенційна вразливість HTTP request smuggling в WEBrick. Цій вразливості присвоєно ідентифікатор CVE CVE-2020-25613. Ми настійно рекомендуємо оновити gem webrick.

Деталі

WEBrick був занадто толерантним до невалідного заголовка Transfer-Encoding. Це може призвести до неузгодженої інтерпретації між WEBrick та деякими HTTP proxy серверами, що може дозволити зловмиснику “протаскувати” запит. Див. CWE-444 детально.

Будь ласка, оновіть gem webrick до версії 1.6.1 або пізнішої. Ви можете використати gem update webrick для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "webrick", ">= 1.6.1" до вашого Gemfile.

Зачеплені версії

• webrick gem 1.6.0 або раніше
• включені версії webrick в ruby 2.7.1 або раніше
• включені версії webrick в ruby 2.6.6 або раніше
• включені версії webrick в ruby 2.5.8 або раніше

Подяка

Дякую piao за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2020-09-29 06:30:00 (UTC)