CVE-2021-41819: Giả mạo Cookie Prefix trong CGI::Cookie.parse

Đăng bởi mame vào 24 Nov 2021

Một lỗ hổng giả mạo cookie prefix đã được phát hiện trong CGI::Cookie.parse. Lỗ hổng này đã được gán mã định danh CVE CVE-2021-41819. Chúng tôi khuyến nghị nâng cấp Ruby.

Chi tiết

Các phiên bản cũ của CGI::Cookie.parse áp dụng giải mã URL cho tên cookie. Kẻ tấn công có thể khai thác lỗ hổng này để giả mạo các tiền tố bảo mật trong tên cookie, điều này có thể đánh lừa một ứng dụng có lỗ hổng.

Với bản vá này, CGI::Cookie.parse không còn giải mã tên cookie nữa. Lưu ý rằng đây là sự không tương thích nếu tên cookie bạn đang sử dụng chứa các ký tự không phải chữ-số được mã hóa URL.

Đây là vấn đề tương tự như CVE-2020-8184.

Nếu bạn đang sử dụng Ruby 2.7 hoặc 3.0:

• Vui lòng cập nhật gem cgi lên phiên bản 0.3.1, 0.2.1 và 0.1.1 hoặc mới hơn. Bạn có thể sử dụng gem update cgi để cập nhật. Nếu bạn đang sử dụng bundler, vui lòng thêm gem "cgi", ">= 0.3.1" vào Gemfile của bạn.
• Ngoài ra, bạn có thể cập nhật Ruby lên phiên bản 2.7.5 hoặc 3.0.3.

Nếu bạn đang sử dụng Ruby 2.6:

• Vui lòng cập nhật Ruby lên phiên bản 2.6.9. Bạn không thể sử dụng gem update cgi cho Ruby 2.6 trở về trước.

Các phiên bản bị ảnh hưởng

• ruby 2.6.8 hoặc trước đó (Bạn không thể sử dụng gem update cgi cho phiên bản này.)
• cgi gem 0.1.0 hoặc trước đó (là phiên bản đi kèm với dòng Ruby 2.7 trước Ruby 2.7.5)
• cgi gem 0.2.0 hoặc trước đó (là phiên bản đi kèm với dòng Ruby 3.0 trước Ruby 3.0.3)
• cgi gem 0.3.0 hoặc trước đó

Ghi công

Cảm ơn ooooooo_q đã phát hiện vấn đề này.

Lịch sử

• Công bố lần đầu vào 2021-11-24 12:00:00 (UTC)