CVE-2021-33621: HTTP response splitting в CGI

Опублікував mame 22-11-2022
Переклав: Andrii Furmanets

Ми випустили версії cgi gem 0.3.5, 0.2.2 та 0.1.0.2, які мають виправлення безпеки для вразливості HTTP response splitting. Цій вразливості присвоєно ідентифікатор CVE CVE-2021-33621.

Деталі

Якщо додаток, який генерує HTTP відповіді, використовує cgi gem з ненадійним користувацьким вводом, зловмисник може використати це для ін’єкції зловмисного HTTP заголовка відповіді та/або тіла.

Також вміст об’єкта CGI::Cookie не перевірявся належним чином. Якщо додаток створює об’єкт CGI::Cookie на основі користувацького вводу, зловмисник може використати це для ін’єкції невалідних атрибутів у заголовок Set-Cookie. Ми вважаємо, що такі додатки малоймовірні, але ми включили зміну для перевірки аргументів для CGI::Cookie#initialize превентивно.

Будь ласка, оновіть cgi gem до версії 0.3.5, 0.2.2 та 0.1.0.2, або пізнішої. Ви можете використати gem update cgi для оновлення. Якщо ви використовуєте bundler, будь ласка, додайте gem "cgi", ">= 0.3.5" до вашого Gemfile.

Зачеплені версії

• cgi gem 0.3.3 або раніше
• cgi gem 0.2.1 або раніше
• cgi gem 0.1.1 або 0.1.0.1 або 0.1.0

Подяка

Дякую Hiroshi Tokumaru за виявлення цієї проблеми.

Історія

• Спочатку опубліковано 2022-11-22 02:00:00 (UTC)