CVE-2020-25613: Lỗ hổng tiềm ẩn HTTP Request Smuggling trong WEBrick

Đăng bởi mame vào 29 Sep 2020

Một lỗ hổng tiềm ẩn HTTP request smuggling trong WEBrick đã được báo cáo. Lỗ hổng này đã được gán mã định danh CVE CVE-2020-25613. Chúng tôi khuyến nghị bạn nâng cấp gem webrick ngay.

Chi tiết

WEBrick quá dễ dãi đối với header Transfer-Encoding không hợp lệ. Điều này có thể dẫn đến việc diễn giải không nhất quán giữa WEBrick và một số máy chủ HTTP proxy, cho phép kẻ tấn công “buôn lậu” (smuggle) một request. Xem CWE-444 để biết chi tiết.

Vui lòng cập nhật gem webrick lên phiên bản 1.6.1 hoặc mới hơn. Bạn có thể sử dụng gem update webrick để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "webrick", ">= 1.6.1" vào Gemfile của bạn.

Các phiên bản bị ảnh hưởng

• webrick gem 1.6.0 hoặc trước đó
• Phiên bản webrick đi kèm trong ruby 2.7.1 hoặc trước đó
• Phiên bản webrick đi kèm trong ruby 2.6.6 hoặc trước đó
• Phiên bản webrick đi kèm trong ruby 2.5.8 hoặc trước đó

Ghi công

Cảm ơn piao đã phát hiện vấn đề này.

Lịch sử

• Originally published at 2020-09-29 06:30:00 (UTC)