CVE-2021-41819: Cookie Prefix Spoofing в CGI::Cookie.parse

Опублікував mame 24-11-2021
Переклав: Andrii Furmanets

Була виявлена вразливість cookie prefix spoofing в CGI::Cookie.parse. Цій вразливості присвоєно ідентифікатор CVE CVE-2021-41819. Ми настійно рекомендуємо оновити Ruby.

Деталі

Старі версії CGI::Cookie.parse застосовували URL декодування до імен cookie. Зловмисник міг використати цю вразливість для підробки безпекових префіксів у іменах cookie, що може обдурити вразливий додаток.

Цим виправленням CGI::Cookie.parse більше не декодує імена cookie. Зауважте, що це несумісність, якщо імена cookie, які ви використовуєте, включають не-алфавітно-цифрові символи, які є URL-закодованими.

Це та сама проблема, що й CVE-2020-8184.

Якщо ви використовуєте Ruby 2.7 або 3.0:

• Будь ласка, оновіть cgi gem до версії 0.3.1, 0.2.1 та 0.1.1 або пізнішої. Ви можете використати gem update cgi для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "cgi", ">= 0.3.1" до вашого Gemfile.
• Альтернативно, будь ласка, оновіть Ruby до 2.7.5 або 3.0.3.

Якщо ви використовуєте Ruby 2.6:

• Будь ласка, оновіть Ruby до 2.6.9. Ви не можете використати gem update cgi для Ruby 2.6 або раніше.

Зачеплені версії

• ruby 2.6.8 або раніше (Ви не можете використати gem update cgi для цієї версії.)
• cgi gem 0.1.0 або раніше (які є включеними версіями з серією Ruby 2.7 до Ruby 2.7.5)
• cgi gem 0.2.0 або раніше (які є включеними версіями з серією Ruby 3.0 до Ruby 3.0.3)
• cgi gem 0.3.0 або раніше

Подяка

Дякую ooooooo_q за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2021-11-24 12:00:00 (UTC)